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Köszöntő 


Kezdők és profik 


Amikor hosszas vajúdás után eldőlt, hogy kis informatikai csapatunk egy újabb munkatárssal bő- 
vülhet, egy komoly dilemmát kellett megoldanom: hogyan vegyünk fel profi szakembert úgy, hogy 
a bérkeretünk alapján csak egy kezdőt engedhetünk meg magunknak? 


A főnökömmel vívott szópárbaj után úgy gondoltam, nincs 
sok esély a bérkeret növelésére, és a fából vaskarikát nekem 
kell elkészítenem. Arra az elhatározásra jutottam, hogy a rö- 
vid interjúk során kifürkészem, vajon ott lapul-e a profi szel- 
lemiség az egyébként kezdő pályázóban. Az egész szituáció 
arra ösztökélt, hogy gondoljam végig, vajon mit jelent az, 
hogy kezdő, és mit, hogy profi. Úgy tűnik, a mindennapi je- 
lentéssel nincs probléma: a profi magabiztos, gyakorlott, és 
biztos kézzel kezd a feladat megoldásához. A kezdő épp en- 
nek az ellentéte. De vajon mit kezdjen az ember a magabiz- 
tos kezdőkkel? És mennyire tekintsem a hosszú gyakorlat el- 
lenére profinak azt, aki alapfogalmakkal sincs tisztában? És 
egyáltalán: ki meri-e jelenteni akármelyik profi szakember, 
hogy a rábízott rendszer bármely problémája esetén biztos 
kézzel dolgozik, és nem merül fel benne a gondolat, hogy 
ezt a hibát nem lesz képes megoldani? 

Néhány nappal később egy nem informatikus ismerő- 
sömnek egy feladatot kellett elmagyaráznom, és meg- 
mutatni, hogyan kell azt elvégezni a számítógép se- 
gítségével. Minden egyes fázisnál görcsösen lelopta 

a képernyőt, majd kinyomtatta, így több mint negy- / 
ven képpel rendelkezett, mire végez- 
tünk. 

Azon túl, hogy borzasztóan idegesített, 
rájöttem, ez az ember vélhetően még na- 
gyon sokáig az információs társadalom 
analfabétája marad, hiába ül naphosszat a 
monitor előtt. A legfőbb probléma, hogy az ő 
gondolkodása lineáris: előbb az egyes lépés, az- 
után a kettes lépés, és így tovább. Ezt láthatjuk a 
bal oldali ábrán. Az ő fejében műveletek kanya- 
rognak, a tanulás számára betanulás, a kivételek 
kezelhetetlenek, egy új verzió pedig arra kénysze- 
ríti, hogy újra elmagyaráztassa magának a nyilván- 
valót, új képeket készítsen és nyomtasson. Ez az 
ember nem veszi észre, hogy valójában nem a fel- 
adatot kell betanulnia, hanem azokat a virtuális 
objektumokat és tárgyakat megértenie, amikkel ta- 
lálkozik: ablak, menü, kérdő mondat (párbeszédpanel), esz- 
köztár, merevlemez, stb. Fogalmi szinten kellene kezelnie a 
munkáját. Végeredményben a megértés előfeltételét, a gon- 
dolkodást kellene elsajátítania. (Hosszan lehetne értekezni 
arról, hogy a magyar iskolarendszer vajon mennyire jó, ami- 
kor mindenre megtanít minket, csak épp a gondolkodásra 
nem. Tonnányi információ ömlik az emberek fejébe, és ki, de 
amikor le kell ülni a PC elé, idegesek és zavartak, mert olyas- 
mit kell csinálni, amit korábban nemigen vártak el tőlük: gon- 
dolkodni.) 
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Aki gondolkodik, hamar rájön, hogy az informatika világa 
nem lineáris, hanem hálós szerkezetű, mint ahogy azt a 
másik ábrán láthatjuk. Ha ismerem az objektumokat, és ér- 
tem a működésüket, akkor ismeretlen szituációban is eliga- 
zodom. Van egy egyszerű és ősi módszer a problémák meg- 
oldására: az állandó gondolkodás. Bár sohasem kellett Sun 
Solaris gép előtt dolgoznom, és kezdetben vélhetően suta 
lennék, ám az elsajátított fogalmak támogatnának, hamar ki- 
ismerném magam, és azt hiszem, nem kellene túl sok idő, 
hogy a SUN támogatta médiában írogassak a mostanihoz 
egészen hasonló gondolatokat. 
Ennek a nem informatikus ismerősnek a viselkedése ráéb- 
resztett arra, hogyan keressem a megfelelő 
JA embert. Olyan kollégát vettünk fel, aki 
nem tudta ugyan, mi az, hogy proto- 
TT koll, nem hallott még az alapér- 
telmezett átjáróról, és a Win- 
dows 2000-ről leginkább 
annyit tudott, hogy más, 
] mint a Windows 98. 
Ám csak fél év telt 
! el, és megszerezte 
az első MCP mi- 
nősítését. Az volt a 
titka, hogy gondolkodott, 
és nem sajnálta az időt a dol- 
gok fogalmi szintű megértésére. 
E lap hasábjai gyakran a profikat is 
próbára teszik, mert bizony új fogalmak tömkelege zúdul 
ránk. Mégis, nem titkolt vágyunk, hogy a gondolkodásra kész 
kezdőket is arra ösztökéljük, olvassanak és tanuljanak. Ami- 
kor a Windows 2000 közvetlenül a megjelenés előtt állt, Sza- 
lontay Zoli és Tarsoly Balázs előadásaiban az egyik dián 
megjelent néhány fontos szó: nagy és sokkoló. Arra utaltak, 
hogy rengeteget kell tanulnunk, hogy megértsük, mi és miért 
változott meg a szoftverben. 
Szakmai szempontból kötelességemnek érzem, hogy a profik 
számára néha túlontúl triviális, ámde a kezdőknek kritikus 
fogalmakkal is foglalkozzam, hogy a magyar informatikai 
társadalmat minden szempontból jó szakemberek szolgál- 
hassák. Ajánlom tisztelettel a Lexikon rovatot, a profikat pe- 
dig arra kérem, hogy adják a kezdők kezébe-az újságot, biz- 
tassák őket a tanulásra, de legfőképp az ősi és jól bevált 
módszerre: a fegyelmezett, logikus gondolkodásra. 
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Internet Information Services 5.0, I. TÉsz 
A Windows 2003 Server webkiszolgálójának újdonságai 


Cikksorozatunkban a Windows Server 2003 IIS szolgáltatásának jjtütüs 

újdonságait mutatjuk be. Elsőként a legnagyobb átalakuláson átesett, legtöbb újdon- Ze 7ége elérem 
sággal kecsegtető és kétségkívül legtöbbet ESZZSzz EE 

használt szolgáltatás, a webkiszolgáló kerül bonckés alá. c GERE , 0 tzslstái 








Windows AP automatikus telepítése CD-ről 


Aki már telepített operációs rendszert úgy, hogy órákon keresztül nyomkodta a next 
gombot, ismeri az érzést: milyen jó lenne ha a telepítés automatikusan 

megtörténne! Elég lenne 40 perc — 1 óra elteltével rápillantani a gépre és ellenőrizni, 
hogy minden sikerült-e? 


3. oldal 
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Gyógyszeresdoboz I. 
Windows 2000 Server Resource Kit I. 


Bár a horizonton már ott tündököl a Windows 2003 Server, azért még jó ideig nem 
merül feledésbe a Windows 2000 sem. Márpedig ha használjuk, lesznek ügyes-bajos 
problémáink. Ha problémáink vannak, jól jön a segítség. Például egy dokumentum és 
segédprogram gyűjtemény formájában a gyártótól? IGEN! 





Netacademia Nagylexikon - Límtár 


Ha van alkalmazás, amely a rendszergazdáké, akkor az a címtár. Tizenöt évvel 
ezelőtt még szinte ismeretlen volt ez a fogalom, tíz éve a Novell NDS megrö- 
könyödést keltett újdonságaival, mára ez a technológia minden vállalati vagy 
intézményi informatikai rendszer alapjává vált. Egy jól konfigurált címtár olyan 
a rendszergazda számára, mint egy remekül hangolt hangszer. Ám a hozzá 
nem értés sok keserű órát és hiábavaló fáradozást eredményez. 





Vaaand—] mp Schema ad Configuration 


1. Oldal 


Netlílon a gyakorlatban 


Hogyan nyerjünk információt a semmiből? 
Nemrégiben érdekes probléma ütötte fel a fejét vállalati levelezésünkben: egy, azaz 











egyetlenegy cégnek nem mentek el a feladott leveleink. S hogy a dolog még furcsább [ő ] 
legyen, ők is csak egyetlenegy helyről nem tudtak levelet fogadni: tőlünk. Hol a hiba? ime ] 
Nálunk? Vagy odaát? Majd a Network Monitor megmondja — ha megmondja! mm) 
nd SSHEdII 
Uudl 
Ki mivel ........ ? Ha támad az IT világ fantomja 
A tervezés szerepe a kivitelezés tudatossá tétele. A tesztlaborokat pedig arra találták ki, hogy minden, 
b) élesben kockázatos teendőt nyugodt körülmények közt, stresszmentesen végigpróbálhassunk. A feladat 
egyszerű: térjünk át Windows 2000-re. Rutinfeladat. Ráadásul másfél éves tervezés és real-life tesztelés 


925599 után az ember biztosra mehet. Nemde? Nem. 


Információbiztonság vagy magánszféra? Ú 
Security or Privacy? 
Napjaink egyik legfontosabb kérdésévé az információ biztonsága vált. Privacy or Security? 


v Ez a kérdés az Egyesült Államoktól Európán át Ázsiáig foglalkoztatja az új információs 
g technológiákkal dolgozókat, a felhasználókat, mindazokat, akik információt szolgáltatnak, vagy 
megszereznek. 
Me 


WMWindorws 6003: JELE By Default! 


Avagy miért nem működik semmi a frissen telepített 
W2003-on? 
Windows 2003 kísérleteink során rendszeresen a legújabb buildekkel kínlódunk, hogy 


minél hamarabb észrevegyük, mi minden változik a redmondi fejlesztések során. A 
változtatások persze nem feltétlenül maradandóak, de az a , trükk", ami látszólag 
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használhatatlanná tette a 3757-es buildet, valószínűleg végleges. Secure By Default! Duce, ele emgzat elte TZdlsi Tovez tti 
jé ú SZO at káözat Egda Enbsetz ai, 
Tonio USZÉB8 E 
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A Microsoft operációs rendszerek biztonsági tényezői 
III. rész — Gyenge pontok, megoldások 


Még felsorolni sem könnyű, hogy hol és mennyi biztonsági szolgáltatást, 
funkciót halmoztak fel a Microsoft szoftvermérnökei a cég 
zászlóshajójában. Ezzel együtt nem szabad elhallgatnunk, hogy továbbra is 
ő vannak gyenge pontok a rendszerben, amelyek folyamatos törődést 
Rendihesa igényelnek. Dióhéjban áttekintjük ezeket, valamint a problémák leküzdésé- 
Framework Ji én 
nek eszközeit is. 
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Tanúsítványkiadók a Windowsban 
A Windows 2000 és Windows 2003 Server CA szolgáltatása 





le ádon Ven tb 
A tanúsítványkiadó szolgáltatás fontos, központi szerepet játszik a Windows 2000/2003 (2-5 (miB(6Ir m 














nyílt kulcsú infrastruktúrájában. Cikkünkben bemutatjuk a Certification Services fára OND Erterotse CA Ögnaárt to társ ex 
a 4 daö ás fe Vr 4 a z oRe Certőrates 
szolgáltatását, majd természetesen kitérünk a Windows 2003 újdonságaira is. teszed Certératos 
(DI Pendng Regvests 
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Portál Paraldigmal II 
A http://localhost/a.aspx - Microsoft Internet E: Második rész, avagy mi az a cache? 


File Edit Wiew  Favorites  Iools Help A tartalommenedzsment vagy CMS rendszereknél még vitatkozhatunk, de az 
igazi alkalmazásintegrációt megvalósító, főleg intranet portáloknál 
7 A fi 0 ; ú 
On - Y be) a a Ccialttégi leszögezhetjük, hogy a statikus HTML oldalak előre legenerálása nem lehetsé- 
ÉJ http:/flocalhostja. aspx ges. Az egyetlen út a teljesen dinamikus markup előállítás. Erről, 
és ennek optimalizálásáról szól a portál cikksorozat második része. 


30. oldal 


Netscan — ahol végessé válik a végtelen 
Kiberszociológia a fejlesztők és a fogyasztók szolgálatában 


A weben drága, nyelvi eszközökkel támogatott kereső-szűrő rendszerek segíthetnek 
a bennünket érdeklő információ kibányászásában. Egy Microsoft-kutatás 

most azzal kecsegtet, hogy a Usenet végeláthatatlan káoszából is sikerül automati- 
kusan kiemelni a lényeget. 


43. oldal 
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Internet Information Services 6.0 


3. 


í 


Internet Information 
gervices 5.0, 


I. rész — A Windows 2003 Server 
webkiszolgálójának újdonságai 


Cikksorozatunkban a Windows Server 2003 IIS szolgáltatásának újdonságait mutatjuk be. Elsőként a 
legnagyobb átalakuláson átesett, legtöbb újdonsággal kecsegtető és kétségkívül legtöbbet használt 


szolgáltatás, a webkiszolgáló kerül bonckés alá. 


Az új operációs rendszer webkiszolgálója teljesen új alapokra 
épült. Az új szolgáltatás tervezésénél szemmel láthatólag a se- 
besség és a megbízhatóság volt a két fő vezérfonal; utóbbi nem 
is annyira egyszerű feladat, amikor a webkiszolgáló hemzseg 
az ,idegen" kezek által készített dinamikus tartalomtól, bővít- 
ményektől. 


A HTTP protokoll, mint új , eszköz" 


Az IIS6 webkiszolgálójának lelkét az eszközkezelőben talál- 
juk, ha bekapcsoljuk a ,nem plug g play eszközök megjelení- 
tése" opciót is: 





— HTTP Properties 212 
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[8 a Disk drives 
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E A HTTP eszközmeghajtó az eszközkezelőben 


Bizony-bizony, a webkiszolgáló magjából rendszerszolgáltatás 
helyett rendszereszköz lett! Egészen pontosan eszközmeghaj- 
tóvá, ,drájverré" lépett elő. A rendszerszolgáltatások és az esz- 
közmeghajtók közötti legfontosabb különbség, hogy míg a 
szolgáltatások az operációs rendszer felhasználói (user) módjá- 
ban futnak, addig az eszközmeghajtók a kiemelt, kernel mód- 
ban működnek. Az eszközmeghajtók (vegyük például egy vi- 
deókártya drájverét) kernel módban képesek a lehető leggyor- 
sabban hozzáférni az általuk kezelt hardverhez; nyilvánvaló 
tehát, hogy a http.sys is itt tudja leadni a legnagyobb teljesít- 
ményt. Természetesen nem a komplett webkiszolgáló került 
le" kernelmódba, a http.sys feladata a beérkező HTTP kérések 
fogadása, azok sorbaállítása, majd , felküldése" a megfelelő ki- 
szolgálókomponens felé. A (felhasználói módban futó) webki- 
szolgáló ekkor feldolgozza a kérdést, és a választ visszaadja a 
http.sys-nek, aki továbbítja azt a felhasználónak. A http.sys 


emellett tartalmaz egy beépített gyorsítótárat is, így bizonyos 
esetekben a beérkező HTTP kérést képes kiszolgálni anélkül, 
hogy arról a ,webkiszolgáló" maga tudomást szerezne. (Lásd 
ehavi Portál Paraldigma) cikkünket.) 

A kernelmódban működő eszközmeghajtókra gondolva a gya- 
korlott Windows felhasználónak mindjárt a stabilitás jut az 
eszébe: bárki fel tud idézni legalább egy tucatnyi kék halált, 
amit egy-egy rosszul megírt nyomtató-, hálókártya-, vagy vide- 
ómeghajtó okozott. Van-e félnivalónk az IIS6-tal kapcsolatban? 
Az egyébként 300KB körüli mérettel bíró http.sys nem tartal- 
maz ,külső" kódot, a kéréseket feldolgozó és a webszolgálta- 
tás tartalmát (a válaszokat) generáló részek továbbra is felhasz- 
nálói módban futnak (és halnak meg). Ráadásul ezen a téren is 
történt számos előrelépés, úgyhogy van remény! A http.sys ki- 
csit részletesebb működésére néhány bekezdés múlva, pár új 
fogalom megismerése után még visszatérünk. 


A Web Administration Service (WAS) 


A webkiszolgáló második fő komponense a Web Administrati- 
on Service (WAS). Ez a komponens már a W3SVC rendszer- 
szolgáltatás égisze alatt fut (tehát külön processzként nem fog- 
juk megtalálni, az inetinfo.exe része), feladata kettős: 
TA Betölti és kezeli az IIS konfigurációs adatbázisát (meta- 
base.xm)). 
HA Felügyeli a webkiszolgáló munkafolyamatainak műkö- 
dését. 


A WAS tehát konfigurációs és felügyeleti feladatokat lát el, töb- 
bek között még a http.sys működését is képes befolyásolni. A 
http.sys-hez hasonlóan a WAS sem tartalmaz , külső" kódot, te- 
hát a konkrét webszolgáltatás nem az ő feladata. Ő a főnök, a 
munkát majd a beosztottak végzik el. Nemsokára velük is meg- 


ismerkedhetünk. 


Az ,IS 5.0 Isolation Mode" 


Az IIS örök problémája az volt, hogy ha megengedi (márpedig 
megengedi), hogy a webes kérések kiszolgálását scriptek, 
scriptmotorok, sőt, külső komponensek végezzék, ezzel kiteszi 
magát annak, hogy ezek a külső komponensek leállhatnak, le- 
fagyhatnak. Az IIS5-ben a webes alkalmazások futtatását há- 
rom ,védelmi szinten" engedélyezhettük (ez az ,/IS 5.0 Isola- 
tion Mode"): 
AA Low (IIS Process): ebben az üzemmódban a kompo- 
nenseket a webkiszolgáló processzében futtatjuk. Tel- 
jesítményszempontból ez a legjobb megoldás, mert 


Egg 3. FE 1 


ekkor nincs szükség processzek közötti kommunikáci- 
óra, stabilitási szempontból viszont a legrosszabb, 
mert egy leálló komponens magával rántja a teljes 
webkiszolgálót is. 

TA Medium (Pooled): Minden webalkalmazás, amely 
ezen a szinten fut, egy közös, külső futtató processzen 
(dilhost.exe) osztozik. Teljesítményszempontból rosz- 
szabb, mint az előző változat, mert a webkiszolgálóval 
történő belső kommunikáció RPC hívásokat használ, 
ami idő- és erőforrásigényes dolog; stabilitási szem- 
pontból viszont jobb, mert a komponens lefagyása ese- 
tén a webkiszolgáló talpon marad (igaz, hogy ezzel 
együtt a többi ,Medium" szintű alkalmazás is lefagy). 

HA High (Isolated): Ebben a módban minden webalkalma- 
zás saját dilhost.exe-t kap. Stabilitási szempontból nyil- 
vánvalóan a legjobb megoldás, mert ekkor az öngyil- 
kosság végre mindenkinek a magánügye; teljesítmény- 
szempontból viszont valahol még az előzőnél is 
rosszabb, mert az RPC-hívások mellett a kiszolgálónak 
még a dlilhost.exe-k tömegével is meg kell küzdenie. 
Egy kiszolgálón belül nem is ajánlott 2-3-nál több 
High" szintű webalkalmazást futtatni! 


A fenti problémák gyökere abban rejlik, hogy az IIS5-ben a be- 
érkező kéréseket mindig a ,nagy" webkiszolgáló processz, az 
inetinfo.exe kapta, és szolgálta is ki. Még ha úgy is döntöttünk, 
hogy a webes tartalom generálásának terhét levesszük az 
inetinfo.exe válláról, megtehettük, de a generált, kész válaszo- 
kat ezután is neki kellett visszaadnunk (költséges RPC hívások 
segítségével). 


A , Worker Process Isolation Mode" 


A fentiek fényében (és a http.sys ismeretében) nagyjából kita- 
lálható az IIS6 újítása: itt ugyanis a kérések-válaszok kezelését 
az eszközmeghajtó végzi, őt pedig bármely processz körülbe- 
lül ugyanolyan hatékonysággal érheti el. Az IIS6-ban minden 
komponenst leválasztottak a webkiszolgáló magjáról (a WAS- 
ról; olyan ez, mintha most mindenki , High" módban működ- 
ne). A kérések kiszolgálását úgynevezett , Worker Process"-ek, 
tulajdonképpen mini webkiszolgálók végzik. ők a dolgozók, a 
WAS beosztottai (nevük w3wp.exe): a WAS létrehozhatja, leál- 
líthatja, felügyeli őket, ők pedig dolgoznak: átveszik a http.sys- 
től a várakozó kéréseket, feldolgozzák azokat, majd a választ 
visszadják a http.sys-nek. Mi történik, ha meghal egy katona? 
Helyébe lép egy másik, a WAS ugyanis folyamatosan tartja ve- 
lük a kapcsolatot, és ha ez a szomorú tény bekövetkezne, meg- 
teszi a szükséges lépéseket (új WP-t indít). A WAS egyébként 
,nyugdíjazhat" is: bizonyos időnként a megfáradt dolgozót 
friss munkaerővel váltja fel. Ez a folyamat a (WP-k szempont- 
jából legalábbis) nem túl humánus , Recycling" nevet kapta. 
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Applications . Processes ] performance ] Networking ] users ] 
e) Under Cc 
z 
The site you z 











default page. 
configured. 
Please try this 
[A SYSTEM 
PE YEmn ED] geeestere  LOCALSERMICE lék ér 
svchost.exe SYSTEM 1684K a 


E Munkában a Worker Process (w3wp.exe) 





Az Application Poolok 7- 


A webkiszolgáló webalkalmazásait alkalmazáscso- f-i 
portokba (Application Poolokba) rendezhetjük. Az 
Application Poolok logikai objektumok, több webal- 
kalmazás kényelmes, közös felügyeletéhez használ- 

hatók. A frissen telepített IIS 6.0 egyetlen Application Poolt tar- 
talmaz, ez a DefaultAppPool nevet viseli. Ebbe az alapértelme- 
zett Application Poolba kerül be minden webalkalmazás, ame- 
lyeket nem rendeltünk másikhoz. Új Application Pool létreho- 
zása egyébként néhány kattintás. Mindössze az új Application 
Pool nevét kell megadnunk, valamint azt, hogy a Pool az alap- 
értelmezett beállításokat kapja, vagy másoljuk le valamelyik, 
már meglévő társa beállításait. 
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"4 Internet Information Services Path 
HÜ W2OO3SRV (local computer) [Default Application Default Web Sitex 
Application döcertsrv Default Web SitesjCertSrv 
Stop 
Regycle 
Application Pool... 
ANTasks Application Pool (from File), .. 





B Az Application Poolok listája az IIS konzolban. 


A webalkalmazásunkat pedig hasonlóan egyszerű módon ren- 
delhetjük hozzá bármelyik meglévő Application Poolhoz: 


ITTEN. é 212! 





Directory ] Documents ) Directory Security ] HTTP Headers ] custom Errors ] 
The content for this resource should come from: 
(6 The designated directory 
C A share located on another computér 
C A redirection to a URL 





Logal path: 


IMyWebAppl 
ITT Script source access [7 Log visits 
[7 Read [7 Index this resource 
TT write 
5. Diráckáry bnosslóg s2 60 sa DUG ESTESSS SBEN OVSZ ASZT 
Application settings 
Application name: [/MyWebappi 0 Remove 
Starting point: Default Web SitesiMywW... 
Execute permissions: Scripts only tie 
Application pool: estattsa s] Unload 





B A webalkalmazás beállításai között kiválaszthatjuk, hogy 
az alkalmazásunk melyik Application Poolhoz tartozzon 


Az Application Pool, a Worker Process és a http.sys kap- 
csolata 


Biztosan ismeri a Kedves Olvasó azt az örökbecsű feladványt, 
hogy mi az összefüggés a tömeg, az idő és a térközött? Nos az, 
hogy ha jó az idő, a tömeg lemegy a térre. Nos, a fenti három, 
kevésbé absztrakt fogalom ennél egy kicsit szorosabb kapcso- 
latban áll egymással: 

A Alapértelmezésben minden Application Pool egy (1) 
darab Worker Process-t ,használ". Ha a WP még nem 
fut, és az Application Poolba kérés érkezik, a WAS gon- 
doskodik az elindításáról. 
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TA Az Application Poolonkénti WP-k száma növelhető, 
ilyenkor gyakorlatilag több, azonos célú miniwebszer- 
vert futtatunk, amelyek a beérkező kéréseket egymástól 
függetlenül, párhuzamosan szolgálják ki (mintha csak 
egy webfarmon lennénk; mivel azonban a webkiszol- 
gálók itt egy gépen belül találhatók, ezt webkertnek 
[Web Garden] nevezték el). 

TA A http.sys minden Application Poolnak egy-egy várako- 
zási sort tart fenn, és a beérkező kéréseket a megfelelő 
várakozási sorba helyezi el. 


A http.sys működése pontokba szedve 


A hálózatról beérkező kérést tehát a http.sys a következőkép- 
pen dolgozza fel: 

1. A kérés beérkezik a http.sys-hez. 

2. A http.sys ellenőrzi a kérést, és ha az érvénytelen, 
azonnal hibaüzenettel válaszol. 

3. Ellenőrzi, hogy a kérésre adott válasz megtalálható-e 
már a gyorsítótárában (ez a , Kernel Mode Cache"). Ha 
igen, a választ azonnal elküldi a kérdezőnek. 

4. Ha a válasz nincs a gyorsítótárban, a http.sys megkere- 
si a megfelelő várakozási sort (ellenőrzi hogy a kérés 
melyik Application Poolba tartozó webalkalmazásnak 
szól), és a kérést beleteszi a várakozási sorba. 

5. Ha a várakozási sort éppen egyetlen WP sem szolgálja 
ki, a http.sys utasítja a VWAS-t egy WP indítására. 

6. A WP kiveszi a kérést a várakozási sorból, végrehajtja, 
majd a választ visszaküldi a http.sys-nek. 

7. A http.sys a választ elhelyezi a gyorsítótárában és ter- 
mészetesen visszaküldi a kérdezőnek is. 


Ha a kérést feldolgozó WP menet közben leáll, a WAS intéz- 
kedhet a probléma megoldásáról. Mindeközben a beérkező 
kérések a Application Pool várakozási sorába kerülnek, azaz 
nem vesznek el (míg a várakozási sor be nem telik). Sőt, ha a 
válasz a http.sys gyorsítótárában megtalálható, a felhasználó 
úgy jut hozzá a válaszhoz, hogy közben a webkiszolgáló tulaj- 
donképpen nem élt! 


Worker Process Recycling 


Itt az ideje, hogy megismerkedjünk az Application Pool beállí- 
tásaival. Az alkalmazáscsoport tulajdonságlapjának első olda- 
lán a WP-k , nyugdíjazásával" kapcsolatos beállításokat találjuk. 
Sokszor előfordul, hogy egy-egy webalkalmazás hosszabb fu- 
tás során túl sok memóriát használ fel (, folyik" a memória). A 
probléma megoldása persze a webalkalmazás kijavítása, de 
vannak esetek, amikor erre nincsen lehetőség. 





Recycing ] Performance ] Heath ] identty [ 
[7 Fiegydle worker processes (n minutes) H "7 
TT Recycle worker process (number of regvests): 35000 










TT Recyde worker processes at the following times: 


adá 
Fi 
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 Regyele worker process after consuming too much memory: 


TT Maximum virtual memory (in megabytes): 
TT Maximum used memory (in megabytes): 


ke]. esa [/ og [/ 66 ] 





E A munkafolyamatok újraindításának korlátai 


A Recycling oldalon megjelölhetjük a WP-k újraindításának 
feltételeit: 

TA Recycle worker processes (in minutes): eltelt idő alap- 
ján. Ez az opció alapértelmezésben is be van kapcsol- 
va, az értéke pedig 1740 perc, azaz 29 óra (?...). 

TA Recycle worker processes (number of reguests): adott 
számú kérés kiszolgálása után. 

JA Recycle worker processes at the following times: min- 
den nap adott időpontjaiban. 

JA Memory recycling: Recycle worker process after con- 
suming too much memory: ha a WP virtuális illetve fi- 
zikai memóriahasználata eléri a beállított értéket. 





I [7 Limit the kernel reguest gueue (number of regvests): 


TT Enable CPU monitoring 


! 
EB 1000 

)  Mivmum CPU use (percentage): Ho 
i 

FEE Hi 

! 

! 

] 


Action performed when CPU usage exceeds maximum CPU use: 


! 

) Refresh CPU usage numbers (ím minutes): 
! 

l fos 





T Web garden 











B Az Application Pool teljesítménybeállításai 


A következő, , Performance" oldalon az Application Pool telje- 
sítménybeállításait találjuk: 

TA Shutdown worker processes after being idle for (time 
in minutes): ha az Application Poolba nem érkezik ké- 
rés, a WAS az itt beállított idő eltelte után leállítja a 
WP-t. Alapértelmezésben be van kapcsolva, 20 perces 
értékkel. 

TA Limit the Kernel Reguest Oueue (number of reguests): 
meghatározhatjuk a http.sys adott Application Poolhoz 
tartozó várakozási sorának méretét. Ha ez megtelik, a 
http.sys , HTTP Error 503: Service Unavailable" hiba- 
üzenetet küld vissza. Értéke alapértelmezésben 1000. 

A Enable CPU Monitoring: Ha bekapcsoljuk, az IIS az itt 
beállított időszak elteltével ellenőrzi a processz CPU- 
terhelését, és ha az meghaladja a beállított értéket, cse- 
lekszik: az Action performed... beállítástól függően ír 
az eseménynaplóba (No Action) vagy leállítja a WP-t 
(Shutdown). 

A Web garden: Maximum number of worker processes: 
itt adhatjuk meg, hogy egy Application Pool kiszolgálá- 
sához a WAS mennyi WP-t indíthat el. Ha ez az érték 
több mint 1, máris van egy kiskertünk (Web Garden). 


Kötelező rendszeres orvosi vizsgálat 


A WAS, mint rendes munkáltató, tekintettel van a beosztottak 
egészségi állapotára (még szerencse, hogy a WP-k nem igény- 
lik az óránkénti tíz perces pihenőt :-) ). 


212d 
Recyding ] Performance. Heath ] tdenety ] 
17 Eneble pngna] ———— ek 
Pina worker process every (freguency in seconds): E 5 


47 Enable rapid-fad protection 


Disable the application pool If there are a certain number of worker process 
failures within a specified time period, 
Eallures: B s 


Ime period (time ín minutes): 





Startup time limit üi EE TETT TSEKEZÉTi 
worker process must startup within (time in seconds) 














EB A Worker Process-ek , egészségügyi" beállításai 


Az Application Pool tulajdonságlapjának , Health" oldalán 
ezeket a beállításokat találjuk: 

A Enable pinging: ha engedélyezzük, a WAS adott 
időnként (az eredeti beállítások szerint 30 másodper- 
cenként) ,megpingeli" a WP-t (egy belső — named pipe 
- kommunikációs csatornán keresztül adatot küld ne- 
ki). Ha a folyamat nem válaszol, vagy a csatorna bár- 
mikor lebomlik, a WP halottnak számít, és a WAS he- 
lyette újabb példányt hoz létre. 

A Enable rapid-fail protection: ha a WP adott időn belül 
(5 perc) egy adott értéknél (5) többször hal meg, az IIS 
nem próbálkozik tovább az újraélesztésével. Helyette a 
hiba kijavításáig leállítja az Application Poolt (a 
http.sys ilyenkor az ide érkező kérésekre HTTP Error 
503: Service Unavailable üzenettel válaszol). 

A Startup time limit: az útjára indított WP-nek ennyi időn 
(90 másodpercen) belül kell válaszolnia a VVAS-nak, 
különben az ,halvaszületést" diagnosztizál. 

TA Shutdown time limit: a WAS által leállított VVP-k ennyi 
időt (90 másodpercet) kapnak, hogy saját erőből befe- 
jezzék a működésüket és kilépjenek. A beállított idő el- 
teltével a WAS könyörtelenül kilövi a processzt (teheti, 
mert a WP-k a WAS gyermekprocesszei). 


A WP-k processzeit futtató felhasználói fiók 


Az Application Pool tulajdonságlapjának utolsó oldalán azt 
határozhatjuk meg, hogy a létrehozott WP-k mely felhasználói 
fiók nevében fussanak. 


ala 
Recyding ] Performance ] Heath. Identty 


Appikation pool identty ——————— 
) Select a security account for this apphcation pool: ! 


G gredefimned [Network Service r 


Local Service I 
Local System I 
I 








bo] ese [/ av [/ "e ] 





E Az Application Pool tulajdonságlapjának ,, identity" ol- 
dala 


Alapvetően két lehetőségünk van: választhatunk az 
előre definiált" fiókok közül, vagy megadhatunk sa- ) 
ját, kézzel létrehozott felhasználói fiókot is. Az előre ) 


definiált beállítások között három rendszerszolgálta- 
tás-fiókot találunk: 

XA Network Service 

A Local Service 

TA Local System 


Ezek erőssége" a fenti lista szerint fentről lefelé nő, azaz a leg- 
kevesebb joga a rendszerben a Network Service fióknak van. 
Egyébként ez az alapbeállítás is. 


Nézzük meg a wwwroot könyvtár alapértelmezett jogosultsá- 
gait: 





wwwroot Properties 


General] Sharing . Security ] web Sharing ] Customize ) 


(Group or user names: 






íz Adrministrators (FALATRAXZOOZMÁ dministrators) 
FÉIIS WPG (FALATRAX2OOZNIS WPG) 
£? Intemet Guest Account (FALATRAXZOOZMUSR W20035... 
CÍ SYSTEM 

fg Users (FAÁLAÁTRAX200ZNU sers) 


Berane ] 


B Új tag a wwwroot biztonsági oldalán: IIS WPG 





A jó öreg IUSR számítógépnév bejegyzés mellett feltűnik egy 
új csoport is, ez az IIS WPG. A csoportnak , gyárilag" az 
IWAM számítógépnév felhasználó a tagja, de ide kell felven- 
nünk mindenki mást is ahhoz, hogy megfelelő jogosultságok- 
kal ruházzuk fel egy WP futtatásához. Visszatérve az Applica- 
tion Pool tulajdonságai közé: a WP-t futtató felhasználói fiók 
kiválasztásánál megadhatunk saját fiókot is (az alapértelmezés 
itt természetesen az IWAM számítógépnév). Ahhoz viszont, 
hogy a WP gondok nélkül futhasson a kiválasztott fiók neve 
alatt, a fiók tagja kell, hogy legyen az IIS WPG csoportnak. 


A következő számban a webkiszolgáló további újdonsága- 
ival... 
. . folytatjuk! 


Fülöp Miklós 
mickCnetacademia.net 
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Windows XP automatikus telepítése CD-ről / // 


Me 


Windows AP automatikus 
telepítése LD-ről 


Aki már telepített operációs rendszert úgy, hogy órákon keresztül nyomkodta a next gombot, ismeri az 
érzést: milyen jó lenne ha a telepítés automatikusan megtörténne! Elég lenne 40 perc — 1 óra eltelté- 
vel rápillantani a gépre és ellenőrizni, hogy minden sikerült-e? 


A válaszfájl 

Az automatikus telepítéshez valahogyan előre meg kellene 
tudni adni a telepítő összes kérdésére a választ. Erre van is le- 
hetőség: NT4 óta az összes Windows operációs rendszer fel 
van készítve arra, hogy a telepítéshez szükséges adatokat fájl- 
ból vegye. Szükség lesz tehát egy válaszfájlra, melyet tetszőle- 
ges szövegszerkesztővel — akár egy Notepaddel — elkészíthe- 
tünk, vagy használhatjuk a Windows XP CD-jén található va- 
rázslót is. Mivel a fájl meglehetősen sok bejegyzést tartalmaz, 
azt javasoljuk, hogy még a bátrabbak se essenek neki kézzel 
készíteni egyet, hanem először futtassák le a varázslót, és a 
kész fájlon fitogtassák ügyességüket Notepaddel. 

A válaszfájl felhasználásának két módja ismeretes. Vagy hálóza- 
ton keresztüli automatikus telepítéshez használjuk (ebben az 
esetben a WINNT32.EXE megfelelő kapcsolójával kell ráirányí- 
tani a telepítő figyelmét fájlunkra), vagy CD-ről bootolva vég- 
zünk automatikus telepítést. Ez utóbbi eset annyiban különleges, 
hogy semmiféle módon nem lehet megváltoztatni, hol is keres- 
se a telepítő a válaszfájlt — annak az A: meghajtóban lévő leme- 
zen kell lennie. Sőt, a fájl neve is kötött: winnt.sif a becses neve. 


Telepítés CD-ről 

CD-s telepítés esetén tehát a kész válaszfájlt egy floppyra kell 

másolni winnt.sif néven, majd a Windows XP telepítő CD-jéről 

bootoljuk a gépet, és rendszerbetöltés kezdetekor helyezzük a 

meghajtóba az általunk elkészített lemezt. A gép rá fog nézni er- 

re a lemezre és az ott található .sif fájlból egy olvasással betölti 

az összes információt. Ha ez megtörtént (a floppymeghajtó kel- 

lemes berregése megszűnik és elalszik a hozzá tartozó szép 

zöld led), kivehetjük a floppyt, mert már nem lesz rá szükség. 

Ha a válaszfájlban úgy határoztunk, hogy a partícionálás ne 

automatikusan történjen (ha például nem a C:W meghajtóra te- 

lepítünk), a telepítés elején még eldöntjük, melyik partícióra 

szeretnénk telepíteni a Windows XP-t, aztán csak magára 

hagyjuk a gépet, és egy órára elmehetünk kávézni. A partício- 

nálásra még visszatérünk... 

Mivel varázslóval egy kicsit gyorsabban elkészíthetjük a tele- 

pítéshez szükséges válaszfájlt, mi most ezen lépkedünk végig. 

Ez azért nem mentesít az alól, hogy tudjuk, mi kerül a 

winnt.sif-be. 

A — belülről .INI szerkezetű — válaszfájlban a következő be- 

jegyzéseknek (szekcióknak) feltétlenül benne kell lenniük: 
[Unattended] UnattendMode 

TargetPath 

AdminPassv 

ae 

Joinworkgroup 


[GuiUnattended] 


[Iden n] 





[UserDatal ComputerName 

FullName 

A varázsló használata közben nyomonkövetjük, hogy ezek 
a bejegyzések milyen értéket vesznek fel. A legtöbb lépés 
után megmutatom, hogy az adott lépésben mi kerül be a vá- 
laszfájlba. 

Az egyes bejegyzések és lehetséges értékeik teljes készlete a 
deploy.cab fájlban található ref.chm súgófájlból kereshető ki. 


A varázsló használata 


Mint már említettem, a telepítővarázsló a Windows telepí- 
tőlemezén található, egészen pontosan a NSupportMToolsN 
deploy.cab fájlban. Ebből bontsuk ki a setupmgr.exe-t és indít- 
suk el! A varázsló bejelentkező képernyőjén nyomjuk meg a 
jól ismert next gombot, majd a következő ablakban döntsük el, 
hogy egy új fájlt készítünk, vagy már egy létezőt szeretnénk 
módosítani. 

Akár új fájlt készítünk, akár egy meglévőt szerkesztünk át, meg 
kell határozni a telepítés típusát. A Windows telepítéséhez vá- 
lasszuk a Windows Unattended Installationt. 
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Product to Install 
Which product does this answer file install? 


This answer file is for: 
G Windows Unattended installation 

C Sysprep install . 
C Remote installation Services 


c Back Cancel Help 


E A Windows felügyelet nélküli telepítése 


Ezen a ponton álljunk is meg: egy .INI szerkezetű válaszfájlt 
készítünk, tehát be kell tudnunk határolni, hogy ez a lépés mit 
is ír a fájlba, hogy későbbi módosításainkhoz ne kelljen a va- 
rázslót használnunk. Nos, ez a lépés ennyit ír a fájlba: 
UnattendediInstal1-"Yes" 

A másik két opció (Sysprep Install és Remote Installation Servi- 
ces) picit másféle fájlt csinál, legalábbis a fájl neve más lesz: A 
Sysprep kimenete Sysprep.inf, a RIS-ág bejárása után pedig 
remboot.sif nevű fájlt kapunk, melyek szintén .INI fájl szerke- 
zetűek. 


Most nem foglalkozunk sem a Syspreppel, sem a RIS-sel, ha- 
ladjunk tovább, adjuk meg, mely platformot választjuk! 


VONAT zkTa Telt dts AZt] 


Platform 
"which platform does this answer file install to? 


Select the platform this answer file installs: 

C Windows XP Home Edítion 

(7 Windows XP Professional 

C Windows 2002 Server, Advanced Server, or Data Center 





E Telepítendő Windows verziójának kiválasztása 


Miután kiválasztottuk a Windows megfelelő verzióját, dönt- 
sünk a telepítés módjáról is. Öt különböző választási lehetősé- 
günk van: 

"A Provide defaults: a válaszfájl alapértelmezett válaszo- 
kat szolgáltat a telepítéshez, melyek megjelennek, és 
ezeket a felhasználó telepítéskor akár meg is változtat- 
hatja. 

HA Fully automated: teljesen automatikus telepítés. Ilyen- 
kor semmiféle visszajelzést nem kapunk, minden érté- 
ket a válaszfájlból vesz a rendszer. 

TR Hide pages: a provide defaults módtól annyiban külön- 
bözik, hogy bizonyos ablakokat el lehet rejteni, és csak 
azok jelennek meg, amelyeket a felhasználók megvál- 
toztathatnak. 

A Read only: a telepítéskor megjelenő ablakokban min- 
den adat megjelenik, melyet ebben a fájlban tárolunk, 
viszont a telepítés paraméterei nem változtathatók 
meg. 

TA GUI attended: csak a szöveges részek automatikusak. 


6 Windows Setup Manager Wizard 


User Interaction Level 
Do you want users to provide information during Windows Setup? 


Select the level of user interaction during Windows Setup: 
€ Provide defaults 

CG Fully automated 

C Hide pages 

€ Readonly 

€ GUI attended 

1 Description ———————— 


Windows Setup dőss not promptthe usér for any ániwers. You suppb alregváod ] 
) answers in the answer file. 


(ök [750]. cron] ee] 


E Válasszuk a teljesen automatikus telepítést! 


Ennek hatására a fájlba ez kerül: 





Ezek után adjuk meg a következő ablakban, hogy CD-ről tör- 
ténik majd a telepítés. Itt megadhatunk egy könyvtárat is, ahon- 


nan majd a telepítést végezzük. Mi most maradjunk a CD-nél. 


me WATT üű§ W 








Pipáljuk be, hogy elfogadjuk az EULA-t, így a telepí- 
tés során már nem kell vele törődnünk. 





.OemSkipEula-Yes 
Most már , csak" azokon az ablakokon kell végiglép- 
kednünk, melyeket a telepítés közben már megszoktunk. Ha a 
teljesen automatikus telepítést választottuk két ablakkal ez- 
előtt, bizony lesznek olyan részek, melyeket kötelező kitölte- 
nünk. 

Ezek a név (a szervezet maradhat üresen is), a termékkulcs, és 
a számítógépnév mezők. 


Cuztomize the Software 
"ou can customize the nztalation et Window by proviáng a default name and 
organzaton 


ge "he delasát name and orgarizokon you ment lo we. II you logva these bonez 
land. the name and orgarizaton vil not be pecéed na 


More ELET 


Digarzaton zab 


Languages 

Bicsszet end She! Setegt 
Instatabon Folder 

Inatol Pintere 

Run Once 

kdótonal Conmardt 


Töltsük ki a név mezőt! 


A fájlba ezután ez kerül: 





Önmagában a termékkulcs automatikus bevitele miatt érdemes 
egy ilyen lemezt készíteni (például Provide Defaults opcióval), 
mert így legközelebb nem kell begépelni a kulcsot. A Provide 
Defaults miatt kitöltve, de módosíthatóan jelenik meg minden 
opció! 

Megadható egyszerre több számítógépnév is egy listában, de 
ezt a lehetőséget a CD-s telepítésnél nem tudjuk kihasználni. 
Egy pipa elhelyezésével utasíthatjuk a gépet arra is, hogy auto- 
matikusan generálja ezt az értéket a szervezet nevéből. Ennek 
feltétele, hogy az Organization mezőt előzőleg kitöltsük. Ekkor 





kerül a fájlba. 


Computer Namer 
Azcígn a name to esch destnaton comouter. 

—— Tupethenameol each destination computer, andthen cick Add 

Timon computer names ítom a text fde (1 computer name per ne), csek Import, 











I A wgép nevét automatikusan is generáltathatjuk 


MODUIM 
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A többi mezőt hagyhatjuk változatlanul is, ilyenkor 
az alapértelmezett beállítások lesznek érvényben. 
Nézzünk néhányat közülük! 

Mint a fenti táblázatban láthattuk, a válaszfájlban 
szerepelnie kell azon könyvtár nevének, ahova a te- 
lepítést végezzük. Ez Windows XP esetén a WINDOWS, me- 
lyet így állítunk be: 


Itt jegyzem meg, hogy a Windows-könyvtár megváltoztatásá- 
val egy csomó hibásan megírt program képtelen lesz rendesen 
működni, így többek között a Nimda és a CodeRed férgek is el- 
pusztulnak! Ezek bizony hibásan megírt programok! 

Az időzónának és az Administrator jelszavának is szerepelni 
kell a winnt.sif-ben. Ha a varázslóban nem állítunk be semmit, 
a következő értékeket veszik fel: 


Ha mégis megadnánk az Administrator jelszavát, titkosíthatjuk 
is, valamint azt is szabályozhatjuk, hogy hányszor lépjen be 
automatikusan az Administrator. 





Adminéstratot Password 
Specily a password for the Adríníttator account on the destnakon compzzers. 


Choose howto zet Ihe Admeriztiatot pastword on the comxderz you are settng up. 
ő 


7 Use the loloving Admristtátor password (127 characters maszmunj 


[7 Enenypt administrator paszword in answer He 


fp iirzntzezmasta TAT Kiszely ganz KÖ 
Munber at times to stokogor 7) 


— een [5]. cm] es] 


Uindows KP automatikus telepítése CD-ről / Nindow;s 





E Titkosítsuk a jelszót és engedélyezzük az automatikus 
belépést! 





Ha megadjuk, hogy az Administrator x-szer lépjen be automa- 
tikusan, lehetővé válik tetszőleges parancsok utólagos futtatá- 
sa. Ideális lehetőség automatikus Office-telepítés beindítására. 
Ezzel az operációs rendszer telepítéséhez minden adatot meg- 
adtunk. 


Egyéb lehetőségek 


Azokon a beállításokon kívül, melyekkel a telepítés során is ta- 
lálkozunk, van néhány, amit már most is megadhatunk, a ké- 
sőbbiekben pedig nem kell velük bajlódni. Ilyen például, hogy 
tetszőleges hálózati nyomtatót telepíthetünk, megadhatjuk, 
hogy az Explorerben mi legyen a kezdőoldal, vagy a kedven- 
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cek között milyen oldalak szerepeljenek. A telefon tárcsázási 
beállításai vagy a területi beállítások is ide tartoznak. 

Bár a nyomtatók telepítésének beállítását külön ablakban elvé- 
gezzük, mégis ide kerül a nyomtató hozzáadása utasítás is: 


Run Once 
ou can configure Windows lo automabcally run a command the fest time a user log 


To ret up a command to run autormabcaly the fist time a user kgz en. 4oe the 
command n the folováng box, and then cíck Add. 








A varázsló a végén létrehoz egy unattend.txt-t és egy unat- 
tend.bat-ot. Az unattend.txt tartalmazza bejegyzéseinket, míg 
az unattend.bat-ot használhatjuk hálózaton keresztüli automa- 
tikus telepítés beindítására. Ez utóbbi esetben szükségünk lesz 
egy hálózatot is használni tudó operációs rendszerre, ami lehet 
akár a MS-DOS is. Ha a hálózatról telepítendő oprendszert 
NTES partícióra szeretnénk tenni, érdemesebb Windows PE- 
vel bootolni, ez ugyanis egy Windows XP-ből készített alap op- 
rendszer: látja a hálózatot, a CD-meghajtót és kezeli az NTFS 
fájlrendszert is. 


Partícionálás 
Mint a bevezetőben említettem, érdemes lehet megakadályoz- 


ni, hogy a telepítő maga kezelje a partíciókat. A kész válaszfájl 
automatikus partícionálást tartalmaz: 





Ez azt jelenti, hogy a telepítő a legelső szabad (Windowst még 
nem tartalmazó), és elegendő üres helyet tartalmazó partícióra 
kerül. Ha nincs ilyen partíció, készít magának egyet. Ennek az 
eljárásnak a bölcsessége megkérdőjelezhető, ezért inkább írjuk 
át ezt az értéket 0-ra! 


Felkészülés, rajt! 


A CD-ről történő telepítéshez már csak egy dolog van hátra, 
nevezzük át a keletkezett unattend.txt szövegfájlt winnt.sif-re, 
másoljuk rá egy hajlékonylemezre és már indulhat is a cikk 
elején leírt telepítés. 


Borsi Katalin 
boboGnetacademia.net 
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Windows 2000 Server Resource Kit I. É 


Bár a horizonton már ott tündököl a Windows 2003 Server, azért még jó ideig nem merül feledésbe a 
Windows 2000 sem. Márpedig ha használjuk, lesznek ügyes-bajos problémáink. Ha problémáink van- 
nak, jól jön a segítség. Például egy dokumentum és segédprogram gyűjtemény formájában a gyártótól? 


IGEN! 


Annak ellenére, hogy kis hazánkban is sokan használják és ki- 
használják a Resource Kit csomag nyújtotta előnyöket (a levlis- 
tákon visszatérő fordulat a ,keresd meg a ResKit-ben", , van jó 
kis program erre a ResKit-ben" válasz), az angol elnevezést 
mégsem sikerült eddig frappánsan, esetleg — a tartalomnak 
megfelelően - sokatmondóan lefordítani magyarra. A Windows 
NT4 Workstation magyar nyelvű változatának kiadása után 
azért mégiscsak történt előrelépés: az első és tudomásom sze- 
rint a témakörben egyetlen magyarul megjelent háromkötetes 
könyv ,Üzemeltetői Enciklopédia" névvel illette, még 1998. 
novemberében. Így vagy úgy, de érdemes legalább kipróbálni, 
vagy még jobb elmélyedni benne, esetleg még akkor is, ha 
nem egy konkrét problémára keresünk megoldást. Ebben a fo- 
lyamatban szeretnénk segíteni ezzel a régóta vajúdó — legalább 
— kétrészes írással. 


Egy kis áttekintés 


12 Windows 2000 Server Resource Kit Start Here 





Online Books 
An HTML Help vermen of the pnint books. se 
these boots to find the same detatod 
information about Windows 2000 a$ is found in. 
the onnt versions. Search across all at the 
books to find the most pertinent ntormatjon to. 
tömplete the task at hand. 


Open the ÉPonline Books 





Tools Help 


heterentes 
Hegktry 
€rror and Event Messages 
Group Policy 
Performance Counters Új 





zasval [a 6 ! [E windows 2000 Server 


E Akaditt olvasnivaló bőven 


Resource Kit sokféle van, sőt szinte azt lehet mondani, hogy 
termékenként (pl. Windows NT4 Server és Workstation, Win- 
dows 2000 Server és Professional, XP, Exchange Server, Offi- 
ce, stb.) létezik egy-egy. A [reskitek] címen megtekinthető az 
összes Resource Kit listája. Egy csomag általában alaposan 
megírt és részletes, mélyvíz jellegű könyve(kelt plusz segéd- 
anyagokat, és egy halom, kisebb-nagyobb segédprogramot tar- 
talmazó CD-ből áll. Egy példa: a Windows 2000 Serverhez 7 


] 





könyv (kb. 7000 oldalon), közel 300 program (a [reskitprogs] 
címen az összes alkalmazás neve megtalálható abc sorendben) 
és számtalan egyéb technikai segédanyag tartozik. A Resource 
Kit fizetős termék, nem jár a szoftverhez (mint pl. a Support 
Tools), ám nagyon sok részlet a könyvekből online megnézhe- 
tő, és pl. a Windows 2000 Server esetén a parancssori eszkö- 
zök közül jópár le is tölthető a [reskitdown] címről. A Micro- 
soft Technet (nem az ojságról van szó 0) előfizetők beépítve 
kapják, az MSDN előfizetők pedig ingyenesen letölthetik. 
Ebben az írásban elsősorban Windows 2000 Server Resource 
Kit CD-n található szoftverkomponensekről lesz szó, de azért 
álljanak itt a csomagban megtalálható könyvek és segédköny- 
vek címei is: 


Deployment Planning Guide 

Distributed Systems Guide 

TCP/IP Core Networking Guide 
Internetworking Guide 

Server Operations Guide 

Internet Information Services Resource Guide 
Internet Explorer Resource Guide 

Technical Reference to the Windows 2000 Registry 
Error and Event Messages 

Group Policy Reference 

Performance Counters Reference. 


BEBBBBHBBBBB 


A CD tartalma 


Ha rákoncentrálunk a CD-re, az egyszerű és gyors telepítés 
után (a full install kb. 6OMB, de közel sem telepít fel mindent, 
ez szinte csak a tartalomjegyzék) észlelhetjük, hogy a tartalmat 
nem túl jól elkülönítve, de azért valamennyire mégis követhe- 
tően három részre osztották: 

HA a CD APPS mappájában található általában komple- 
xebb, grafikus felületű, Microsofttól és külső gyártóktól 
származó komponensek illetve alkalmazások, amelyek 
rövidebb-hosszabb listáját illetve leírását a CD 
HTMLAstart.htm weboldalán nézhetjük meg 

A a programcsoportból a Tools pont alól indítható, kate- 
gorizált formában látható, kisebb és általában csak egy- 
egy célra használható programok, 

A valamint a Documentation szekció, ahol a korábban 
felsorolt könyvek és segédkönyvek találhatóak .chm 
(help) formátumban. 
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Nézzük először -— és ebben a részben kizárólag — a 
nagyobb alkalmazásokat! A lista persze nem teljes, 
szubjektív üzemmódban szelektáltam a fontosabba- 
kat illetve az érdekesebbeket. 


Microsoft alkalmazások 


Cconnect 

Ugye másnak is problémát okoz, hogy bizonyos felhasználók 
több gépen is bejelentkeznek? Jó lenne, ha lehetne ezt vala- 
hogy szabályozni, ilyen esetben távolból kiléptetni, sőt, ,ha 
lúd legyen kövér", ne is engedjük, hogy belépjenek! Erre való 
a Cconnect (Con-Current Connection Limiter). A program egy 
kliens-szerver alkalmazás, ezért a beléptető szerverre és a 
megfigyelni szánt számítógépekre is fel kell telepíteni a 
passzoló komponenst. A működéshez alapfeltétel egy - mini- 
mum 6.5-ös verziójú - SOL Server, mert a program egy táblába 
írja a userek belépéseit a különböző számítógépekre. Ezért lét- 
re kell hozni ezt a táblát Cconnect néven, majd érdemes egy 
megfelelő jogosultságokkal rendelkező külön usert is felvenni 
az SOL Server Security/Logins menüpontja alatt erre a célra (pl. 
CCLogin), a többit a program elintézi. 


Most már csak azt kellene megoldani, hogy minden gépen 
mindig működjön az ügyfél, be tudja magát írni az SOL táblá- 
ba és ne is lehessen a kliensen leállítani. Könnyű dolgunk van, 
mert szerencsére használhatjuk a csoportházirendet. A prog- 
ramhoz mellékeltek egy sablonállományt (Cconnect.adm), 
amelyet csak be kell importálnunk a vonatkozó szervezeti egy- 
ség GPO-jába, a User ConfigurationvAdministrative Templates 
alá. Ami itt egy kicsit fura: a beimportálás után a jobboldali ke- 
retben semmi nem lesz látható egészen addig, amíg a Ccon- 
nect tároló View menüpontja alatt a Show Policies Only pipát 
le nem vesszük. Cserébe viszont részletesen bekonfigurálhat- 
juk a program összes vonatkozó paraméterét. 


Concurtent Connection Number 


probaGPO [testsrv2 testdomain loca 
E úgl Computer Configutation 
El User Configuration 
H-T Soltware Settings 
H EI Windows Settings 
I] Gama Templates 


SOL Connection Information 
Track Last User 

Enable Debuging 

Disable Remote Logotf 
Force Logolf 
dldtstátelásákő 










A beimportált sablon trükkös 


Érdekesség még, hogy elvileg Windows NT4 alatt is működik 
a kliens, amennyiben legalább SP4 és a Windows Script Host 
rajta van, és a WBEM és az MDAC v2 vagy magasabb verzió- 
ja is rendelkezésre áll. A System Policy Editor és a mellékelt 
sablon segítségével a központi beállításokat szintén elvégez- 
hetjük. 


HTTP Monitoring Tool 


Egyszerű, ám rendkívül hasznos eszköz, amelyet a webszerve- 
reink állapotának ellenőrzésére használhatunk. Rövid telepítés 
után a program könyvtárában négy mappa jön létre: 

HA Docs -— a dokumentáció 

HA Output — az ellenőrzés végtermékei: a .csv file-ok 


HA Samples — mintaállományok a beállításhoz és a hasz- 
nálathoz 

HA Source — a programkód, C nyelven. 
A httpmonconf.exe-vel tudjuk beállítani az ellenőrzés kritériu- 
mait (Global Settings), valamint a Web Clusters alatt az ellen- 
őrizni kívánt szerverek IP címét, a szerver és a kezdőlap nevét 
(ennek sajnos egyformának kell lenni az összes szerver esetén). 
Ezután indítsuk el a szervizt, -mert a telepítés után ez nem tör- 
ténik meg — és várjunk 5 percet. Ha minden OK, kapunk egy 
.csv állományt, benne a szabványos http response kóddal, pl. 
a 200-ast, ha hiba nélkül működik a webszerver (a Samples 
mappában találunk egy statuscode.htm állományt a legfonto- 
sabb kódokkal). A file többi oszlopában többek között a web- 
szerver fejléce, a visszatérési időtartam, a próbálkozások szá- 
ma és a mintavételezés időtartama szerepel. 


TA SounocserverdNTERNET 
T OupuDreetayeC APiogam FiertATTPMorOupa 
14 Logáírore TRUE 
4 EnatieőingelP-FALSE 

feb Cuore 
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I A beállítások és az eredmény 


Ha sok szervert akarunk bevinni, direkt szerkeszthetjük a 
Awinntdhttpmon.ini állományt is, de ebben az esetben a válto- 
zások azonnali érvényesítéséhez mindig újra kell indítani a 
szervizt. 


IIS Migration Wizard 





Welcome to the Microsoft IIS v,5 Migration Wizard, 














This vizard vill help vou migrata vour current wab server configuration to 
Mierosoft HIS v.5. 


The following types of "source" web servers can be migrated to the 118 v.5 


Microsoft Internet Information $erver (IS) v.4 
Microsoft Internet Information Services (IS) v.5 
Netscape Enterprise Servar (NES) v.2.5 

Apache v.1.3 


Notes this wizard must be run on the target machine. 





To lear more about the migration process (induding what can and cannot be 
migrated), see the README.TAT file. 
Click Next to 


the wizard. 








E Indulhat a varázslás 


A program — meglepő módon - nevében hordozza a felhaszná- 
lási területét: egyszerű átállást biztosít Netscape 3.5.1, Apache 
1.3 és az IIS4 webszerverekről. Ez ma már nem biztos, hogy em- 
lítésre méltó, viszont két IIS5 között is képes erre, ami viszont 
még mostanság is jól jöhet. Háromféle telepítőcsomag áll a ren- 
delkezésünkre, de amennyiben két IIS5 között akarunk migrál- 
ni, a célszerveren a IISv5MigrationuUtility-TargetOnly x86.exe 


tech.net 





csomagot kell futtatni, amely létrehoz egy virtuális mappát a 
Default Web Site-on belül, ezért a folyamat innentől a böngé- 
szőből folytatódik, pl. a http://localhost/IISMU címen. Nézzük 
ennek lépéseit: 


HA Először meg kell adnunk a forrásszerver elérhetőségét 
(dns/netbios név vagy IP-cím), és lehetőségünk van a 
folyamat lépéseinek lementésére (aztán egy másik szer- 
veren a visszatöltésére) egy .cab file-ba. 

TA Természetesen megfelelő módon hitelesíttetnünk kell 
magunkat (név/jelszó/tartomány), de csak a jelenleg 
belépett felhasználó adatait használhatjuk, ergo admin- 
ként kell belépnünk. 

A A következő lépésben a forrásszerver IIS-mappái közül 
egyesével kiválogathatjuk a migrálni kívánt beállításo- 
kat, tartalmat, MIME-típust, sőt akár az NTFS-jogosult- 
ságokat is. 

A Elkezdődik a procedúra, a végén lehetőségünk van el- 
menteni (a már említett folyamatleíró .cab file mellett) 
az activity.log-ot, amelyből kideríthető: mi sikerült és 
mi nem. 


És lőn! Az eredményt egy virtuális site formájában látjuk vi- 
szont a célszerver IIS Manager-ében. Ha például a forrásnál 
olyan partíción is tároltunk IIS komponenseket, amely a cél- 
szerveren nem létezik, a program ezt is megoldja az elérési út 
átírásával. 

Ami még fontos: a készítők melegen ajánlják, hogy ha már be- 
fejeztük a migrálást, biztonsági okokból szedjük le a program 
összetevőit. O 


Internet Explorer 5 Administration Kit 


A rövidítve IEAK-ként ismert (letölthető az lieak5] címről is) 
komponensnek komoly szakirodalma van, részletes ismerteté- 
se valószínűleg feleslegesen foglalna helyet, így röviden csak 
annyit róla, hogy a böngésző telepítőjének illetve beállításai- 
nak testreszabott preparálását lehet vele elvégezni. Többféle 
megoldás létezik: lehet teljes telepítőcsomagot gyártani vele 
amely , silent" módban a felhasználó beavatkozása nélkül rak- 
ja fel a programot, vagy lehet akár egy floppyn elférő, csak a 
beállításokat tartalmazó csomagot készíteni vele, amit pl. a 
már feltelepített IE-vel lehet ,megetetni", ha nem akarunk 
komplett újratelepítést. Természetesen létezik változat már az 
1E6-oshoz is [ieak6], de azt tudnunk kell, hogy valós létjogo- 
sultsága ezeknek a csomagoknak csak a nem tartományi és 
nem Windows 2000/XP gépek esetén van, hiszen ellenkező 
esetben a Csoportházirenddel teljesen ki lehet , radírozni" a 
felhasználók által végzett módosításokat, illetve tiltani a bele- 
kontárkodást. 


Web Application Stress Tool 


Ez a szoftver szintén az IIS szekció része, webszerverek tesz- 
telésére szolgál. Különböző gyári, illetve akár általunk össze- 
állított szkriptekkel aránylag kevés gépről (vagy akár egyről is) 
jelentős terhelést zúdíthatunk a webszerverünkre, azért hogy 
megtapasztaljuk teljesítményét, stabilitását, kapacitási határa- 
it. A használathoz először is másoljuk be a program mappájá- 
ból a Samples mappát a webszerverünk gyökerkönyvtárába. A 
szoftver indítása után látható, hogy a baloldali keretben talál- 
hatóak az alapbeállítások, és a gyári szkriptek hét csoportba 
osztott konfigurálási lehetőségei. Ebbe a keretbe kerülnek az 
általunk készített saját szkriptjeink tárolói is. 
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E A jelentés részletei 


Mielőtt beindítjuk a vizsgálatot, célszerű átnézni ezeket a be- 
állításokat és korrigálni az igényeinknek megfelelően. A Set- 
tings rész alatt a teszt erősségét (szálak és socket-ek szorzata), 
időtartamát (pl. napi rendszerességgel) a kérések időbeli vélet- 
lenszerűségét, vagy éppen a sávszélességet állíthatjuk be. A 
Perf Counters menüpont alatt a figyelni kívánt webszolgáltatás 
különböző paramétereit (Get Reguests/sec, Post Reguests/sec, 
stb.) vehetjük fel. Érdekes lehetőség az ún. Page Groups opció, 
amellyel a weboldalakat a terhelés várható százalékos meg- 
oszlásának arányában csoportosíthatjuk. 

Az összes eddigi jelentés kimenete egy helyen, a program egy 
új ablakában jelenik meg (de a teszt után csak a View/Reports 
menüpontra kattintással lesz látható), illetve tudunk exportálá- 
ni is, .csv formátumban. 


Külső (3rd party) alkalmazások 


Active State: ActivePerl 

Ki ne ismerné -— legalább hallomásból — a Perl-t, a platformfüg- 
getlen szkriptnyelvet, amelyet webes alkalmazásoknál hasz- 
nálhatunk, pl. ez (a sokaknak szintén jó ismerős univerzális 
statisztikai eszköz) az MRTG (Multi Router Traffic Grapher) 
alapja is. 











rd 
3 party Applications 
Active State: 


Activeperi (Professional and Server) 






Perl is a fNexible scnpting language widely used for system administration on both 
UNIX and Windows platforms, as well as programming on tha world wide web, 
a windows mplementron Of Perl which also meludes; 






or Win32: Binary of core Perl distribution. 

for ISAPI: Plug-m for running Peri CGIS and scripts faster on ISAPI 

-ompliant web servers such as II. 

ívex seripting engine, íke JavaScript or V8Script. Can be 

Activex Scripting Host such as Microsoft Exchange, 

4 Explorer, and the Windows Scripting Host. 

. Peri package Maneger: Perl extension installer and manager. Makes it 
€asy for Win32 developers to manage the many modules and extensions 
avadable for Perl. 
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E A S3rd party alkalmazások is jól jöhetnek 
Ezen a CD-n az Active Perl, a Windowsra írt változat alábbi 
komponensei találhatóak meg: 

A Perl for Win32: a forráskód 

A Perl for ISAPI: ISAPI bővítmény, IIS alá 

TA PerlScript: ActiveX szkript motor 

AA Perl Package Manager: a Perl komponensek telepítője 

és kezelője 
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-" Windows 2000 Server Resource Kit I. 
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Cybersafe Log Analyst 


Ezzel a remek kis Resource Kit komponenssel az 
Event Viewer Security kategóriájának naplóállomá- 
nyait tudjuk igényes formában ábrázolni. Egy MMC 
modult ad hozzá a meglevőkhöz, amelyben meg- 
nyitható az aktuális biztonsági naplófile, vagy akár korábban 
vagy más gépen lementett ".evt állományokat is használhatunk 
elemzésre. A 11 különböző gyári sablon alapján részletesen 
beállítható formátumú, színes-szagos grafikonokat kaphatunk, 
amelyeket aztán ki is nyomtathatunk, sőt a program kifejezet- 
ten nyomtatóra van kihegyezve, mert feltelepített nyomtató 
nélkül nem is működik az ábrázolás. 
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Intergraph SmartSketchLE 


A következő program nem tipikus rendszergazdai eszköz, (leg- 
feljebb kikapcsolódásnak jöhet jól), hanem egy - leginkább a 
Microsoft Visio-hoz hasonlítható — technikai rajzoló és ábrázo- 
ló szoftver , csökkentett" tudású változata. A csökkentett jelző 
azért idézőjeles, mert iszonyú sok mindent lehet vele ábrázol- 
ni, rengeteg sablonnal rendelkezik és könnyedén kapcsolatot 
teremt a különböző CAD/Office programokkal. 


Internet Security Systems Internet Scanner 
Internet Security Systems System Scanner 


A szintén ismerős ISS cég (pl. az ISA szerver különböző filterei, 
bővítményei közül több is tőlük származik) két szoftvere között 
sok szempontból nincs túl sok különbség. Mindkettő eléggé át- 
fogó és erőforrásigényes program, ezért szerverekre a készítők 
szerint nem is ajánlott telepíteni, különösen az Internet Scan- 
nert nem. Mindkét programban hozhatunk létre saját policy- 
kat is (ezeken alapulnak majd a vizsgálatok céljai és módsze- 
rei) de létezik jó pár beépített gyári is. 

Az Internet Scanner ismert biztonsági lyukakat keres, és első- 
sorban a hálózati problémák felderítésére használható. Több 
mint 500 exploit alkalmazását szimulálhatjuk (NT és UNIX 
környezetet egyaránt ismeri), valamint ezek leírását és — több- 
nyire elég részletesen — elhárításának módjait is tartalmazza. 
Mivel nem egy mostanában kiadott programról van szó, alap- 
esetben kissé elavult pl. a hackertechnikák vagy a trójaiak te- 
rületén, de az adatbázisa aktuálissá tehető egy ún. X-Press 
Update komponens segítségével (kipróbáltam, működik). Első 
látásra igen bonyolultnak tűnik a kezelés, a sok lehetőség kö- 
zött el-eltévelyeg az ember és olyan érzése van, mintha pl. a 
Retina (szintén kimagaslóan jó biztonsági analízis program) és 
az MBSA (Microsoft Baseline Security Analyzer) lehetőségeit 
előzetesen összegyúrták volna, de ez erősen szubjektív véle- 
mény. 

A System Scanner inkább a futtató gépet vizsgálja, a humán 
erőforrás által okozott hiányosságokra koncentrál (üres user 
jelszó, gyenge registry védelem, megosztások jogosultságainak 
laza kezelése, stb.). Ellenőrzés közben alaposan belenéz a re- 
gistrybe, a filerendszerbe vagy a felhasználói adatbázisba és a 


kimeneteként szolgáló weboldalon, avagy állományban ma- 
zsolázhatunk a megtalált és azonosított problémáink között. 
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Seagate Crystal Reports 6 


Ha nagyon részletes és sokoldalú naplóelemzést szeretnénk, 
ezt a programot célszerű kipróbálni. Rengeteget tud, avatatlan 
szemlélő már az elején is elakadhat, pl. a megfelelő típusú te- 
lepítés (több hálózati variáció vagy pl. webszerver) kiválasztá- 
sánál. Választhatunk legalább 8 féle riporttípusból (levél, űr- 
lap, stb.) a forrás lehet továbbá többféle adatállomány, SOL 
adatbázis vagy akár egy webszerver naplófile is. A Windows 
2000 mindhárom alap eseménynapló állományával (System, 
Security, Application) elboldogul. A riportok alapanyagának 
beolvasása után a szerkesztéshez számos, az adatbázisokkal 
kapcsolatos, illetve a külcsínyen javító formázó/grafikai eszkö- 
zünk van. 


Telco Research Tru-Access Manager Lite 


Ez egy érdekes program (bár nálam rejtélyes okokból rendsze- 
resen szétfagyott), a halózatunkra belépő felhasználók tevé- 
kenységeinek , radarozására" szolgál. Össze kell kötni pl. az 
IAS-sal (Internet Authentication Server) és aztán naplózni lehet 
vele a csatlakozás idejét, mérni az eltöltött időt, vagy a felhasz- 
nált sávszélességet. A jelentéskészítésnél el tudja különíteni a 
befelé jövő analóg, digitális illetve VPN forgalmat, és lehetőség 
van a használt hálózati szolgáltatások kategorizálására is. 


A következő részben a parancssori programok kerülnek fó- 
kuszba, addig is kellemes próbálgatást! 


Gál Tamás 
MCSA 
gtamasetjszki.hu 


fetacademia Nagylexikon 7 


Lírtár 


Ha van alkalmazás, amely a rendszergazdáké, akkor az a címtár. Tizenöt évvel ezelőtt még szinte is- 
meretlen volt ez a fogalom, tíz éve a Novell NDS megrökönyödést keltett újdonságaival, mára ez a 
technológia minden vállalati vagy intézményi informatikai rendszer alapjává vált. Egy jól konfigurált 
címtár olyan a rendszergazda számára, mint egy remekül hangolt hangszer. Ám a hozzá nem értés sok 


keserű órát és hiábavaló fáradozást eredményez. 


Amikor fogalmakat kell tisztázni, mindig két kedvenc monda- 
tomat idézem. Az egyik mondat a DNS zónákhoz kapcsolódik, 
és így szól: a zóna egy fájl. A másik a címtárakkal kapcsolatos: 
a címtár egy adatbázis. Szeretem ezeket a definíciókat, mert 
bár túl sokat nem mondanak, ám aki semmit nem tud, annak 
ezek világos, valamihez köthető megfogalmazások, hiszen aki 
rendszerüzemeltetésre adja a fejét, bizonyosan találkozott már 
valamilyen adatbázissal, mondjuk dBase vagy Access rendsze- 
rekkel. Egy adatbázisról lehet tudni, hogy valamilyen definiált 
struktúra szerint adatokat tartalmaz. Az adatok rögzíthetőek és 
kinyerhetőek, egy vagy több elemen műveletek végezhetők. 
Egy címtár persze speciális adatbázis: speciális a célja, az adat- 
szerkezete és adattárolási módja is. Ahhoz, hogy megértsük, 
miért olyanok a címtárak ma, amilyenek, és miért arra használ- 
juk őket, amire, egy pillanatra tekintsünk vissza a múltba, ami- 
kor még nem volt szükség címtárakra, sőt, még igazán hálóza- 
tok sem léteztek. 


Címtáralapok 


A történet ott kezdődött, amikor lehetővé vált, hogy egyetlen 
számítógép egyszerre több felhasználót is képes legyen kiszol- 
gálni. Valamilyen módot kellett találni arra, hogy a rendszer a 
felhasználókat megkülönböztesse egymástól. Valljuk be, ez 
azért nem túl nehéz feladat. A legelterjedtebb módszer mind a 
mai napig az, hogy a rendszer megkérdezi a felhasználó nevét, 
és hogy meggyőződjön arról, tényleg az illető ül-e a gép előtt, 
kér egy olyan titkot, amit csak a felhasználó tud — ez a jelszó. 
Ebben az esetben a címtár tulajdonképpen egy táblázat, 
amelynek minden sora (rekordja) egy nevet és a hozzá tartozó 
jelszót tartalmazza. Erre az alapra azután építkezni is lehet. 
Egy újabb mező felvételével megadható például a felhasználó 
saját könyvtára, a többször előforduló nevek azonosítása érde- 
kében belső, egyedi azonosítót használhatunk, sőt, az elektro- 
nikus levelezés megjelenése után már az e-mail címet is felve- 
hetjük a felhasználó tulajdonságai közé. Mindazonáltal a mód- 
szerünknek vannak korlátai is. Az egyik, hogy nem ad lehető- 
séget csoportosításra. Minden egyes rekord ömlesztve, egyet- 
len táblában található. Meg kell oldani a jelszavak biztonságos 
tárolását is, nehogy illetéktelenek hozzájussanak. Végezetül ki 
kell dolgozni valamilyen eljárásrendet arra vonatkozóan, hogy 
ki, mikor és milyen tulajdonságokkal bővítheti az adatbázist. 
Meg kell alkotni egy eljárást arra az esetre is, ha egy felhaszná- 
ló adatait egyszerre többen akarják módosítani. 

Az idők folyamán ezekre a kérdésekre adekvát válaszok szület- 
tek. A nagygépes rendszerek megbízhatóan és biztonságosan 
működtek, csakhogy időközben elérkezett a hálózatok kora. 


Tannenbaum mester óta tudjuk: a buta terminálokkal körülvett 
mainframe-ek tulajdonképpen nem tekinthetők valódi hálóza- 
toknak, mert hálózat csak két vagy több számítási kapacitással 
rendelkező eszköz között jöhet létre. 

Ha van egy mainframe eszközöm, az remek, ha van kettő, az 
még jobb, csak ezzel együtt a nyakunkba vesszük a több cím- 
tár problémáját is. Vajon az egyik 
rendszer felhasználója hozzáférhet-e 
a másik rendszerhez? Az üzleti élet 
gyakorlata szerint a válasz igen. De 
vajon honnan tudja ama második 
rendszer, hogy az elsőben regisztrált 
felhasználó valóban az, aki? A kérdés- 
re kétféle technikai megoldás létezik. 
Az egyik bevezeti a címtár replikálá- 
sának vagyis másolásának fogalomkö- 
rét, a másik pedig a címtárak össze- 
kapcsolását jelenti. Ha másoljuk a 
címtárat az egyik gépről a másikra, 
elimináljuk ugyan a dupla címtár 
problémáját, ám helyette a másolás 


Mindaddig, amíg 
egyetlen géppel 
dolgozunk, a címtár 
valójában nem 
probléma, de már 


kettő gép esetén is 


elméletben és gya: "komplex kérdéskörével kell megbir- 
kóznunk. Csak néhány kérdés a meg- 
korlatban megoldan: . válaszolandók közül: a címtár teljes 


tartalmát vagy csak egy részét (partíci- 
dó kérdések tömkele- óját) másoljuk? Mekkora sávszélesség 
áll rendelkezésre a másoláshoz? Ha 
az adatok mennyisége jelentős a sáv- 
szélességhez viszonyítva, hogyan idő- 
zítsük a másolást, hogy az ne zavarja 
a többi alkalmazást? Hogyan győződjék meg a célállomás ar- 
ról, valóban a forrásállomás küldi-e az adatokat, és azokat út- 
közben nem módosították, illetve hogyan gondoskodjunk a tit- 
kos adatok, mint például a jelszavak biztonságáról? 
Nem válik könnyebbé a helyzetünk akkor sem, ha inkább a 
több címtár mellett döntünk. Ekkor azt kell a rendszer tudomá- 
sára hozni, hogy bizonyos felhasználókat ne a saját címtárában 
keressen, hanem valahol máshol. Emellett a hitelesítést is an- 
nak a gépnek kell elvégeznie, amelyben a felhasználót regiszt- 
rálták. Vagyis: annak a rendszernek, amelynek az erőforrásait a 
felhasználó épp igénybe kívánja venni, meg kell bíznia abban, 
amelyben a felhasználót regisztrálták (adatait rögzítették és tá- 
rolják). Összefoglalva: mindaddig, amíg egyetlen géppel dol- 
gozunk, a címtár valójában nem probléma, de már kettő gép 
esetén is elméletben és gyakorlatban megoldandó kérdések 
tömkelegével találkozunk. 


gével találkozunk. 
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4) Vissza a jövőbe 


Manapság nem egy, nem kettő, hanem több tucat, sőt 

Poe akár több száz, ezer vagy tízezer intelligens állomás 

kapcsolódik össze hálózattá. Mindegyik tartalmazhat 

bizalmas információkat, mindegyiknek szüksége van 

a felhasználók azonosítására. A megoldás olyan címtárért kiált, 

amely a korábban vázolt kérdésekre és még sok minden más- 

ra is megnyugtató választ ad. Korunk vállalati címtárai elosz- 

tott, replikálható, hierarchikus, megbízási kapcsolatokra épülő, 

méretezhető, paraméterezhető, bővíthető, többféleképp hasz- 

nálható, szabványos adatbázisok. Az alábbiakban minden 

egyes jellemzőt alaposan körüljárunk. A tulajdonságokat egy- 

egy konkrét példával illusztrálom, természetesen a Windows 
2000 címtárát felhasználva. 


Elosztott címtár 


Az elosztott címtár annyit jelent, hogy a címtár teljes adattar- 
talma egyik szerveren sem található meg, hanem csupán az 
adatok egy része. Ez logikus felépítés, hiszen ha van egy fel- 
használó Kuala Lumpurban, az vélhetően sohasem fog Buda- 
pesten dolgozni, tehát nincs szükség arra, hogy az adatait a bu- 
dapesti szerver is tárolja. Persze kizárni semmit sem lehet, 
ezért ha mégis bekövetkezne ez a valószínűtlen esemény, a 
címtár egy másik tulajdonsága segíteni fog a probléma megol- 
dásában. 

A Windows 2000 beépített címtárában, az Active Directoryban 
egy tartomány jelent egy partíciót. A tartományon belül min- 
den kiszolgáló törekszik a partíció valamennyi adatának frissen 
tartására, de más partíciók adatait nem tárolja. 


AN B és C szülője 
A gyermeke 


A gyermeke 
D szülője 


C gyermeke 
A unokája 


Az Active Directory elosztott és hierarchikus címtár 


Hierarchikus címtár 


Mivel a világ tele van hierarchiával, és egy adatbázis feladata 
nem más, mint adatok segítségével a valóság leképezése, ne 
csodálkozzunk, ha a címtárak hierarchikus szervezését lehető- 
vé tették. Hogy ez a hierarchia mit is képezzen le ténylegesen, 
azt a fejlesztők már az üzemeltetőkre bízzák. Modellezhetjük 
hierarchiával a vállalati szervezetet, a földrajzi elhelyezkedést, 
a rendszeradminisztrátorok hatáskörét és így tovább. A hierar- 
chia kialakítása nagy körültekintést igényel, ezért a Microsoft 
sokféle ajánlást tett közzé. 

Az Active Directoryban kettős hierarchia érvényesül. Egyrészt 
tartományokat alakíthatunk ki, amelyek egymás alá, fölé vagy 
mellé rendelhetők. Másrészt egy tartományon belül szervezeti 
egységekkel valósíthatunk meg hierarchikus felosztást, amire 
részben a korábbi rendszerek miatt volt szükség. A szervezeti 
egység a Windows NT 4.0 erőforrástartományát váltotta fel. Ez 
azonban már nem része az alapismereteknek. 


Replikálható címtár 


Ha a címtárszolgáltatást több szerver együttesen nyújtja, meg 
kell oldani az adatok másolását, figyelembe véve a szerverek 
közötti sávszélességet, a másolandó adatok mennyiségét és a 
másolásra rendelkezésre álló időt. Gondoljunk bele, hogy bi- 
zonyos adatok másolására igen gyorsan sort kell keríteni, míg 
mások várhatnak. Ha egy felhasználó a kelleténél többször hi- 
bás jelszóval próbálkozott, és ezért az egyik címtárkiszolgáló a 
tulajdonságai közül megváltoztatta a kizárásra vonatkozót, ezt 
a módosítást gyorsan a többi szerver tudomására kell hozni. 
Ha viszont valaki másik irodába költözött, és ezt a címtárban 
feltüntetjük, technikai értelemben nem vészes, ha ez az infor- 
máció csak másnap frissül a többi kiszolgálón. 
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B Egy nem is túl összetett replikációs rendszer 


Az Acive Directory automatikusan hangolja az azonos, illetve 
eltérő szegmensben található címtárszerverek közötti adatmá- 
solást. A telephelyeken átívelő replikáció időzíthető, az átvitel 
technológiája (IP, SMTP) pedig megválasztható. 


Megbízási kapcsolatokra (trust relationship) épülő címtár 


Kevesen gondolják végig, hogy minden operációs rendszer 
kétféle helyzetben működhet: önállóan vagy hálózatban. Ha 
önállóan működik, saját magának kell gondoskodnia arról, 
hogy a felhasználók azonosítását elvégezze. Ezt minden Linux/ 
Unix operációs rendszer, vagy minden NT verzió elvégzi — 
szemben a Win9x változatokkal, amelyek felhasználó-hitelesí- 
tés nélkül is működnek. Ez azt jelenti, hogy ezer Windows 
2000 munkaállomásnak ezer címtára van? Igen. Úgy válik 
használhatóvá ez az irdatlan mennyiségű adatbázis, ha nem 
használjuk őket! Egészen pontosan csak néhány, egyébiránt 
fontos funkciót használunk. 

Amikor egy NT egy tartomány tagja lesz (de nem tartományve- 
zérlője!), a központi címtárba bekerül egy speciális felhaszná- 
ló, amely a gépet reprezentálja. Ha egy tartományban létreho- 
zott felhasználó szeretne bejelentkezni, a bejelentkezési kérel- 
met a gép a központi tartományvezérlők felé továbbítja, mert 
megbízik bennük. Ettől kezdve a dolog egyszerű: ha csak a tar- 
tományban rögzítjük a felhasználókat (vagyis egy , nagy", ,kö- 
zös" címtárban), a kicsi, helyi címtárakkal nem is kell foglal- 
koznunk. Az ezernyi gépet ezernyi megbízási kapcsolat fűzi 
egy központi címtárhoz, amelynek adatbázispéldányait a tarto- 
mányvezérlők tárolják. 

A fentieken túl egyéb megbízási kapcsolatok is ismertek. Jel- 
lemzőjük lehet, hogy milyen objektumok között hoznak létre 


kapcsolatot. Két, azonos rendszerben (pontos nevén: erdőben) 
lévő Windows 2000 tartomány között automatikusan jön létre 
a kétirányú kapcsolat. 





ENS tet 
kapcsolatok 
Active Directoryk között 





B A megbízói kapcsolatok száma függ a tulajdonságaiktól 


Két NTA tartomány vagy egy NT4 és egy Windows 2000 tarto- 
mány között kézzel kell létrehozni a megbízási kapcsolatot, 
amely egy irányban érvényes, és csak a két tartomány között 
értelmezhető, vagyis nem tranzitív. A tranzitivitás fontos tulaj- 
donság. A fenti ábra jobb oldalán a mindössze négy kapcsolat 
automatikus létrejötte után minden tartomány megbízik a má- 
sikban, vagyis elfogadja, ha egy felhasználóról egy tartomány- 
vezérlő azt mondja: ,ő tényleg az, akinek mondja magát". 
Ugyanezt az eredményt NT4 tartományokkal húsz, kézzel lét- 
rehozott, egyirányú kapcsolattal érhetjük el. Ezt jelenti a gya- 
korlatban a tranzitivitás. 


Méretezhető címtár 


A méretezés nem a címtár logikai szerkezetére, inkább fizikai 
megvalósítási módjára utal. Adatbázisról beszélünk, amelyben 
adatokat tárolunk, rögzítünk, lekérdezünk stb., és nem mind- 
egy, hogy ezt milyen gyorsan tehetjük. Tényleg nem mindegy? 
A mai számítási és tárolási teljesítmény mellett, ezer objektum 
(felhasználó, számítógép, csoport stb.) tárolása csupán 1-2 MB. 
Komoly méretezési számítások nélkül képesek lennénk akár a 
legnagyobb magyar nagyvállalat összes felhasználóját, cso- 
portjait és egyéb, tárolásra érdemes objektumát egyetlen tarto- 
mányvezérlőre pakolni, ezt csupán rendelkezésre állási és vo- 
nal-terhelési okokból nem tesszük. Úgy tűnik, a méret nem lé- 
nyeg. 

Azért van másfajta megközelítés is. Tegyük fel, hogy egy inter- 
netes áruházat üzemeltetünk, ekkor bizony a vásárlóinkról ké- 
szítendő adatbázis több tízezer bejegyzést tartalmazhat. Az 
adatbázis frissítési, lekérdezési teljesítménye azonnal kritikus 
tényezővé lép elő. Szerencsére az Active Directory nagyon jól 
méretezhető. A tárolható objektumok száma korlátlan, és a 
mérések szerint a rendszer válaszidejét a növekvő objektum- 
szám nem befolyásolja. 

Az eredmények mögött egy kiforrott adatbázis-technológia áll. 
A Microsoft ugyanilyen (vagy inkább nagyon hasonló) JET 
adatbázis-motorral látta el korábban az Exchange rendszerét 
is. A rendszer jól hangolja magát, a műveletek tranzakciók (te- 
hát a módosítások biztonságos eljárással történnek), az adatbá- 
zis karbantartása, indexelése automatikus. A rendszergazdákat 
számos leírás segíti, ha különleges követelményeknek kell ele- 
get tennie a címtárnak, hogy a válaszidő és a rendelkezésre ál- 
lás megfelelő legyen. 





Paraméterezhető címtár h0) 
Felhasználók, csoportok, telephelyek, vonalak, sáv- e) 


B 


szélességek, tartományok, adatbázis-példányok — Ú 
csak a legfontosabb tényezők, amelyeket eddig emlí- 
tettünk a címtárral kapcsolatban. Valamennyi objek- 
tumot, és azok egymáshoz való viszonyát is figyelembe kell 
venni, amikor címtárat hozunk létre, tervezünk, optimalizá- 
lunk. Minél nagyobb szabadságot kap a rendszer üzemeltetője 
a fenti objektumok paramétereinek meghatározásakor, annál 
jobb alkalmazást tud kiadni a keze közül. Ám ennél még több- 
re van szükség. A címtárnak fel kell tudni ismerni a környeze- 
tét, és bizonyos határok között saját magát kell hangolnia a tel- 
jesítmény vagy a konzisztens adatbázis megőrzése érdekében. 
A korábban látott replikációs útvonal-struktúrának automatiku- 
san át kell alakulnia, ha egy tartományvezérlő meghibásodik. 
Ha két telephely között megváltozik az őket összekötő adat- 
csatornák sávszélessége vagy a vonalat használó alkalmazások 
száma, a replikáció ütemezési beállításainak követnie kell a 
változást — ez azonban már a rendszergazdák hatásköre és fe- 
lelőssége. 


Bővíthető címtár 


A címtárak objektumokat tárolnak. A telepítéskor az objektu- 
mok tárolt tulajdonságai (és azok adattípusa) meghatározottak. 
Ugyanakkor elvárás, hogy az objektumok száma bővíthető le- 
meste gyen. Ha szeretném nyilvántartani a 
jel hálózati aktív elemeimet, szükségem 
van arra, hogy létrehozhassak új ob- 
jektum-típusokat, azokhoz pedig új 

tulajdonság-típusokat. 
számítások nélkül ké- . A windows 2000-ben a címtárat le- 
író adatszerkezetet sémának nevez- 


Komoly méretezési 


pesek lennénkakár zük. Ez a séma (megfelelő jogosult- 
ság mellett) bővíthető, kiegészíthető, 
a legnagyobb MagyaI a helyi igények szerint — bizonyos 
korlátok mellett — testre szabható. Így 
nagyvállalat ÖSSZES nincs ,bedrótozva" a rendszer. Új 
adatok, új tulajdonságok segítségével 
felhasználóját, a valóság újabb szelete képezhető le, 
ezáltal a címtár újabb értelmet kap. 
csoportjait és egyéb, Az Active Directory sémabővítése je- 
lenleg egyirányú. Ez azt jelenti, hogy 
tárolásra érdemes objektumokat és objektum-tulajdon- 
ságokat létrehozhatunk, de nem tö- 
objektumát egyetlen — rölhetünk. A fejlesztők gőzerővel 
dolgoznak azon, hogy a következő 
tartományvezérlőre verziók ennél nagyobb rugalmassá- 
got tanúsítsanak. 


pakolni. 
ja] 


Több alkalmazást is segítő címtár 
I Ha bővíthető a címtár, új és még 
újabb alkalmazások vehetik azt birtokukba. A Microsoft több 
alkalmazását is integrálta az Active Directoryval. Az integráció 
legalább három szintet jelenthet. 
Az első szinten az alkalmazások a címtár biztonsági funkcióit, 
elsősorban a felhasználók és egyéb objektumok hitelesítését, 
azonosítását veszik igénybe. Ennek az a következménye, hogy 
az alkalmazásokba nem kell beépíteni sem saját hitelesítő 
rendszert egyedi módszerekkel, sem pedig saját címtárat! Nem 
kell a tűzfalalkalmazás számára külön felvenni mind a 300 fel- 
használót még egyszer, elegendő a szabályokat felállítani a 
már létező címtár felhasználóira: a marketingesek internetez- 
hetnek délelőtt is, a pénzügyesek azonban nem. Sok ilyen al- 
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! kalmazás létezik már, és nemcsak a redmondiak fejé- 
ből. A Symantec pcAnywhere programja éppúgy in- 
tegrált Windows alapú hitelesítést használ, mint a 
Deerfield cég Wingate proxyja. 

A második szint, amikor az alkalmazás kibővíti az 
eredeti sémát, hogy újabb objektumokat vagy a meglévő ob- 
jektumok újabb tulajdonságait tárolhassa. Tipikus példa az 
Exchange 2000 Server. Amíg nincs ilyen rendszerünk, addig 
nem rögzíthetjük, hogy a felhasználó postaládájának mekko- 
ra lehet a mérete (hisz nincs olyan objektum sem, hogy posta- 
láda). A sémabővítés segítségével csak a fantáziánk szab ha- 
tárt a különböző típusú alkalmazások létrehozásához. Lelki 
szemeim előtt egy olyan program lebeg, amely címtártulaj- 
donságokon keresztül szabályozza, hogy a vállalati telefont ki 
és hogyan használhatja. Régi vágyam, hogy az antivírus szoft- 
verek a saját megoldásaik erőltetése helyett címtárban defini- 
ált házirendek segítségével konfigurálják a PC-ken futó kom- 
ponenseiket, és vírusadatbázisaik frissítésekor a címtár repli- 
kációs szerkezetére támaszkodjanak. 
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E Csoportházirend - egy címtárral integrált alkalmazás 


Az integráció harmadik szintje kicsit kilóg a sorból. Az ebbe a 
csoportba tartozó alkalmazások olyan szorosan integráltak az 
operációs rendszerbe, hogy lényegében annak részét képezik. 
Az alkalmazások között vannak nagyon egyszerűek, mint pél- 
dául az állomány- és nyomtatómegosztás, és vannak összetet- 
tek, mint a digitális tanúsítványok rendszere vagy a csoporthá- 
zirendek. Közös bennük, hogy az adatokat a címtárban tárol- 
ják, gazdagítva az objektumok tulajdonságait, és eliminálva a 
második és harmadik címtár létrehozásának szükségességét. 


Szabványos címtár 


Egy adatbázis akkor hasznos, ha a benne tárolt információk 
rendelkezésre állnak. Az alkalmazások számára a rendelke- 
zésre állás azt jelenti, hogy definiált módon férjenek hozzá az 


adatokhoz. Szerencsés, ha ez a hozzáférési mód általánosan 
elterjedt, és nem egyetlen címtárra specializált. A Windows 
2000 az LDAPV3 szabványt használja az adatok lekérdezésé- 
re. Bármely alkalmazásnak elégséges ezt a bárki számára hoz- 
záférhető, egyszerűen implementálható szabványos módszert 
használni, hogy értékes információkhoz jusson. 

A Windows 2000 címtárához szorosabban vagy lazábban más 
standardok is kötődnek. A tartományok kialakítása a DNS 
szabványcsaládnál megszokott elvek szerint történik. A cím- 
tárban a tanúsítvány vagy a visszavont tanúsítványok listája a 
PKI szabványokban leírt tulajdonságokkal bír. A hitelesítési al- 
rendszer, amely tekinthető az Active Directory egyik alkalma- 
zásának, a Kerberost használja. Ez teszi lehetővé például azt, 
hogy nem Windows 2000 alapú hitelesítő rendszerekkel meg- 
bízási kapcsolatot lehessen létrehozni (Kerberos Realm Trust). 


Végül meg kell teremteni annak a lehetőségét is, hogy a rend- 
szer más gyártók címtáraival együttműködjön. A vállalatfelvá- 
sárlások és cégegyesülések ugyanis különböző gyártók nagy- 
méretű, összetett címtárait sodorják egymás mellé. 


Zárszó 


Milyen következtetéseket vonhatunk le a leírtakból? 

1. A címtár az informatikai rendszer lelke és közepe. Új 
beruházáskor ennek az alkalmazásnak a tervezésével 
kell kezdeni a munkát. Csak akkor lehetünk hatéko- 
nyak, ha a címtár bevezetését alapos megfontolások 
előzték meg. Ha átveszünk egy IT-rendszert, az első 
dolgunk a címtár rendbetétele legyen. Minden más 
csak ezután következik. 

2. A címtárak egyre szélesebb alkalmazásportfóliót integ- 
rálnak. Ez egyszerűséget, átláthatóságot, és a valóság 
jobb leképezését eredményezi. Törekedjünk a címtár- 
ral integrált alkalmazások vásárlására és bevezetésére, 
tartózkodjunk azoktól, amelyek ilyen lehetőséget nem 
tartalmaznak. 

3. A címtárak jelentősége — elsősorban a fenti pontnak kö- 
szönhetően — folyamatosan nő, ezért nemcsak érde- 
mes, hanem szükséges is a lehető legmélyebb ismere- 
teket megszerezni az üzemeltetés egyszerűsítése, a biz- 
tonság növelése és a folyamatos átalakulások meg- 
könnyítése érdekében. 


Lepenye Tamás, MCSE 2000 
lepenyetőmal.hu 


fetlllon a gyakorlatban 


Hogyan nyerjünk információt 


a semmiből? 


Nemrégiben érdekes probléma ütötte fel a fejét vállalati levelezésünkben: egy, azaz egyetlenegy cég- 
nek nem mentek el a feladott leveleink. S hogy a dolog még furcsább legyen, ők is csak egyetlenegy 
helyről nem tudtak levelet fogadni: tőlünk. Hol a hiba? Nálunk? Vagy odaát? Majd a Network Monitor 


megmondja — ha megmondja! 


Képzeljék el azt a szerencsétlen szituációt, amikor az ÉN leve- 
leim nem jutnak el egy informatikailag alultámogatott nyomdai 
partnercéghez. Ki a hibás, na ki? Adódik a feltételezés, hogy — 
miután mi, MCSE--MZ/X-ek űberokosok vagyunk — csak és ki- 
zárólag a partnernél lehet a hiba. Voltam olyan jó, hogy ingyen 
vállaltam a problémájuk megoldását, és mint kiderült, ezt na- 
gyon okosan tettem: kisebb volt a végén az égés. De menjünk 
szép sorjában. 

Az alábbi ábrán Exchange Serverünk SMTP várakozási sorai 
láthatók egy átlagos délutánon. Megfigyelhető, hogy bizony 
nem egy 0Xueue várakozási állásponton van, vagyis elsőre nem 
sikerült oda levelet továbbítanunk. Ezek között húzódik meg 
szerényen a bossmagazin.hu, ami csak annyiban tér el a többi- 
től, hogy az Exchange már értesítést küldött a feladónak, hogy 
12 órája nem tudja kézbesíteni a levelet. (Ilyet csak akkor tesz, 
ha már az x. kísérleten is túl van, és mégsem boldogul az adott 
címre menő levelekkel.) 
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Enumerate 100 Messages ol 
Fo a AKN GT thai Ffeeze AlMessages 
[Forces a connection retry which may t Unfreeze All Messages 


E SMTP várakozási sorok az Exchange 2000-ben 


Sajnos magának az Exchange Servernek sokszor halvány fogal- 
ma sincs arról, mi okozhatja a problémát, vagy ha tudja is, ak- 
kor sem mondja meg. A hiba elhárítása sem túl kifinomult: ha 
valami nem megy, később ismét megpróbálja. A századik kí- 
sérlet után azonban emberi beavatkozásra van szükség, ki kell 
derítenünk (helyette!), hogy mi a baj. 

A nyomozást nagyban megkönnyíti, hogy nem kell kivárnunk, 
amíg ismét rájön a termékre a kézbesíthetnék, hanem az egér 
jobb gombjának egy jólirányzott kattintásával beindíthatjuk a 
küldési kísérletet (a fenti ábrán: Force Connection). 

Mielőtt azonban ezt tettem volna, elindítottam kedvenc végfel- 
használói szoftveremet, a Network Monitort, hogy saját sze- 
memmel győződhessem meg a hálózaton zajló csetepatéról. 
Az elkapott hálózati forgalomból az alább látható szűrő segít- 
ségével választottam ki az SMTP-forgalmat (korábbi NetMon 
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cikksorozatomban már szóltam a szűrők készítésének techni- 
káiról, itt csak a kész szűrőt mutatom meg): 





DADA LLS 


[OR] 
-TCP-:Source Port 
inati 


F Protocol zz Any 
LANY c-3 ANY 















E NetMon protokollszűrő az SMTP-forgalom kiválasztá- 
sára 


A fenti szűrő csak azokat a csomagokat tartja meg, amelyekben 
vagy a feladó, vagy a címzett portszáma hexa 19, azaz 25, az- 
az SMTP. Magyarul azok a csomagok maradnak fenn a rostán, 
amelyek a 25-ös portra irányuló TCP-csatorna forgalmát adják. 
És itt ért az első nem várt meglepetés. Ugyanis ennyi csomag 
maradt: 


Microsoft Network Monitor - [Capture: 1 (Summary)l BE alOl2d 
Ele Edt Display Ivols Options Window He 2181 xi 





zla] :Imló] 8] EEEla ele] glezl sali 01 2] 
[ersmelráze — [re Mc adaz [Dor Mc Adar [/roroco1 [Description — al 
3.454968 LOCAL 00301BOCOB75 TCP 
3.454968 00301B0COB7S LOCAL TCP 
3.454968 LOCAL 00301BOCOB?75 TCP 
2.454968 LOCAL 00301BOCOB7S TCP 





[TCP protocol summary Fé: 14539 KA 





Ea A szűrőfeltételnek megfelelő 25-ös porti csomagok 


Hát ez bizony semmi. Ötször leellenőriztem a szűrőket, de 
mindhiába: semmi más nem történt, minthogy felépült a TCP- 
csatorna, amiben aztán nem utazik semmi. 

Ha valaki figyelgette már az SMTP hálózati forgalmat, tudhat- 
ja: a sikeres csatornaépítést az SMTP-kiszolgáló nem hagyja 
szó nélkül, hanem rögtön beleküldi saját matketingüzenetét, 
például: 
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továbbá (ez hosszú lesz!): 





Az összes üzenetben ennyi a mondóka lényege: 220. Az üze- 
net további része egyfelől teljesen felesleges, másfelől veszé- 
lyes, hisz információt adnak Hacker Henrynek az általunk 
használt rendszerről, de már úgy megszoktuk, hogy ha nem 
lenne (mint ahogy az én hibám esetében tényleg nincs), hiány- 
érzet támadna bennünk. De nincs. 


A néma szerver vallatása 


Gondolkodjunk, vajon miért nincs üzenet? Útválasztási prob- 
léma lenne? Az nem lehet, hisz a csatorna sikeresen felépül. A 
partner — talán — egy szerény gyártó SMTP-kiszolglóját használ- 
ja? Ez sem valószínű. Esetleg egy köztünk lévő tűzfal nyeli el 
az üzenetet? Ez ellen nincs megdönthetetlen bizonyítékom, vi- 
szont értelmetlen lenne. Akkor marad ez: a partner SMTP-ki- 
szolgáló némasági fogadalmat tett. Vajon miért? Ennek kell ki- 
deríteni az okát. 

Következő lépésként megállapítjuk, hogy az ominózus email- 
cím postaládáit hol tárolják. Ott, ahová az MX-rekordok mutat- 
nak. Ennek felderítéséhez NSLOOKUP-parancsot használunk, 
az alábbiak szerint: 


ETET ZT LTE 


cs Tespyrighe 1985 - 2990 Microsoft MONenE 


JE:xDocuments and SettingsXfn.NETACADEMIADns5 lookup 
Default Server: latan.netacademia.£fn 
Address: 172.16 6.8.1 


B get typerali 
magazin.hu 
platán ngtacadenia.£n 


172.16. 


lon-authoritative answer: 

bbossnagazin.hu MX preference - 18, mail exchanger - 
smagazin.hu internet address - 194.149.10. 
smagazin.hu nameserver 5: nsi.global-line.hu 
smagazin.hu nameserver - ns2.stignata.hu 


égne mást ég tá látás Mát 


hhossnagazin.hu 
2.stignata 


bossmagazin.hu 
nt.egnet.hu e addi ma 212. 185197. 128 
51.global-line.hi internet address - sé; já 19.78 
RE etetett internet address - 212.75.138.1 





DNS-névhez tartozó MX-rekordok kilistázása 


Tehát valahányszor Gbossmagazin.hu címre küldünk levelet, 
valójában a tnt.egnet.hu szerverrel vesszük fel a kapcsolatot. 
Egy gyors telnet-próba (parancssorból) elég ahhoz, hogy tud- 
juk, jó helyen járunk: 


Command Prompt - telnet tnt.egnet.hu 25 


JE:SDocuments and SettingsXfm.NETACADEMIADtelnet tnt.egnet.hu 25. 





onnection to host lost. 


E! SMTP-kapcsolat parancssorból — így sem megy! 


Ezen a ponton vettem fel a telefonkagylót, mert úgy éreztem, 
szoftveres úton nem tudok továbbjutni. Az Egnetnél megértő- 
en fogadtak (a sokadik őrült aznap, aki azt hiszi, ért hozzá...), 
és el akarták mesélni, mit kell tennem, hogy az Outlook Exp- 
resst használni tudjam. Néhány bűvös kifejezéssel (MX-rekord, 
NSLOOKUP, RFC stb.) meggyőztem az ügyfélszolgálatost, 
hogy valóban tudom, mit akarok, így perceken belül egy hoz- 
záértő kollégához jutottam. 


WE ELűd GW .ta WG4. 4 ül B a 


Innentől felpörögtek az események. A szakértő kolléga min- 
denekelőtt rákérdezett az én IP-címemre, amit készséggel meg- 
adtam, majd közölte, hogy ez a cím nincsen regisztrálva. Hi- 
ányzik hozzá a reverse-DNS! Az ő SMTP-szerverük nem vála- 
szol ,kalóz" IP-című gépeknek. S hogy miért ,kalóz" a mi IP- 
címünk? Mert még ,csak" 7 hónapja, hogy ezt használjuk (ak- 
kor költözött az iroda), és ennyi idő alatt nem sikerült megcsi- 
nálni a megfelelő bejegyzést az in-addr.arpa zónába. Milyen 
jó, hogy kiderült! Gyors javítás, no meg a zóna TTL-jének le- 
ketyegése után ment minden, mint a karikacsapás. 


Reverse DNS az Exchange Serveren? 


De ha már előjött ez a probléma, a kisördög elkezdett bújkál- 
ni bennem: én is szeretném, ha így viselkedne az SMTP-kiszol- 
gálóm! Nekiestem hát az Exchange alapértelmezett virtuális 
szerverének, felforgattam minden zugot, de csak ezt találtam: 


CETEEZTETET ETET 2 
Maximum hop count: 
Masguerade domain: 
Fully-gualified dornain name: 


fpaten. netacademia.net Check DNS I 


Smart host: 


TT áttempt dírect delivery before sending to smart host 


TT Perform reverse DNS lookup on incoming messages 
Configure external DNS Servers: Configure... ] 


bo] cra[/ Her ]Í 











E Reverse lookup-beállítás az Exchange Serveren 


Vigyázat, ez nem az! Itt arról van szó, hogy a beérkezett üze- 
neteken végezzünk-e névfeloldást abban az esetben, ha a fel- 
adó csak IP-címmel van megadva. Ez tehát feltételezi, hogy a 
levelet elfogadjuk. Az Egnet szervere viszont az SMTP-paran- 
csokat sem fogadta el. 


Tanulságok 


1. A fordított névlekérdezésen alapuló , biztonságot" gya- 
korlatilag az égvilágon senki sem használja, hisz több 
mint fél évig zökkenőmentesen használtuk mindenféle 
célra bejegyzetlen IP-címünket. 

2. A Network Monitor a csendet ugyan nem mutatja meg, 
de a csend tényét igen, és ez néha a legtöbb informá- 
ció, ami a rendelkezésünkre áll! 


Fóti Marcell 

marcellfönetacademia.net 

A szerző a NetAcademia vezető oktatója 
MCSE, MCT, MCDBA, MZ/X 





hi mivel ........? 


Ha támad az IT világ fantomja . 92696 


A tervezés szerepe a kivitelezés tudatossá tétele. A tesztlaborokat pedig arra találták ki, hogy minden, 
élesben kockázatos teendőt nyugodt körülmények közt, stresszmentesen végigpróbálhassunk. A feladat 
egyszerű: térjünk át Windows 2000-re. Rutinfeladat. Ráadásul másfél éves tervezés és real-life teszte- 


lés után az ember biztosra mehet. Nemde? Nem. 


Fáradtság. Ez a szó sokunknak talán mást jelent, mint a hétköz- 
napi ember számára. Rendszergazdák, programozók számára 
talán nem is jelent semmit. Annyira a hétköznapjaink részévé 
vált, hogy nem is vesszük sokszor észre. Gyakran már szinte 
csak akkor tudunk produkálni, ha nem alusszuk ki magunkat, 
vagy le sem fekszünk és mégis, másnap mintha picit jobban 
mennének a dogok. Persze ez csak a virtuális valóság. 


Alapos tervezés, gondos tesztelés 


Már másfél éve tervezgetjük, hogy egy körülbelül 50 felhasz- 
nálót kiszolgáló szerveren lecseréljük az NT4-et Windows 
2000-re. De nem volt, aki megtegye. Az elmúlt másfél évben 
Rendszegazdánkat a userek ügyes-bajos napi problémái és a 
kliensgépek folyamatos frissítése (hw/sw) foglalta el, én sze- 
mély szerint — bár mindenesnek vallom magam - inkább a 
szoftverfejlesztésben vagyok járatosabb. Persze ezalatt az idő 
alatt az összes kapcsolatos előadáson jelen voltam, olvastam a 
dokumentációkat, könyveket, szívtam magamba a tudást, hogy 
ha majd eljön a Pillanat, a lehető legnagyobb hozzáértéssel 
tudjunk hozzálátni a dologhoz. 

A Pillanat késett egy pár pillanatot, mivel a szerver folyamato- 
san üzemel hétvégén is, valamint — egyéb okokból -— a világ- 
egyetem összetevőinek megfelelő konstellációja is kellett ah- 
hoz, hogy végre bekövetkezzen. Most végre eljött az idő! 
Mivel a meglévő tartományvezérlő alatti vas modernnek 
mondható (tükrözött háttértár, 2 db PIII 800-as szerver proci 4 
Asus alaplap), szerettünk volna egy tiszta oprendszert tudni a 
hardveren, de úgy, hogy a korábbi címtártartalom megmarad- 
jon. Tiszta vasra tiszta szoftvert! Tehát a cél egy újratelepített, 
de mégis a régi tartalmat hordozó Active Directory. A tanfolya- 
mokon, előadásokon hallottak alapján a következő tervet 
eszeltük ki. 

1. Egy NT4 Backup Domain Controllert telepítünk valami 
vasra. Ócskavas is lehet, ez a DC csak kisegítőszerepet 
lát el. 

2. Szerepcsere. A korábbi PDC-t (ez alatt van a jobbik vas) 
detronizáljuk, s egy darabig az ócskavas lesz a PDC. 

3. Az ócskavas-PDC-t Windows 2000-re frissítjük. Ezáltal 
ott a régi SAM tartalmát megőrző Active Directory szü- 
letik. 

4. A korábbi PDC-ről (a jobbik vas) lementjük az adato- 
kat. Háromszor leellenőrizzük, majd Format C: 

5. Új vasra Windows 2000 Server fel. 

6. Ebből is tartományvezérlőt készítünk, azaz: DCPRO- 
MO. 

7. A jelenleg az ócskavason, mint legelső Active Directory 
tartományvezérlőn tanyázó öt FSMO szerepet át- 
visszük a szép-új vasra. 





8. Adatok visszatétele. 
9. Ha minden OK, a kisegítő szerverről DCPROMO-val 
AD le, majd kikapcs. 


(Lehet hogy kevesebb lépésből is menne, de ez tűnt az abszo- 
lute tiszta útnak.) 

A Rendszergazda kolléga korábban ezeket a lépéseket az ép- 
pen keze ügyében levő tartalék gépeken leszimulálta. Az ered- 
mény kielégítő volt, úgyhogy semminek nem láttuk akadályát. 
A Nagy Pillanatot megelőző napon előkészítettük az első há- 
rom lépést. 

Aznap este 8-kor amikor az utolsó kliens is felszabadult, neki- 
láttunk a feladatnak. A régi szerverről lemásoltuk az adatokat, 
majd aránylag gyorsan el is jutottunk a 6. lépésig. 


Látványos kudarc 


És itt kezdődtek a gondok. A DNS install, majd a DEPROMO 
lefutása után valami hihetetlen módon lelassult a gép. , Biztos 
az AD miatt meg csúnya Microsoft!" Nem baj, majd magához 
tér, DHCP service fel. Csak éppen nem akart elindulni. 
Elkezdtünk izzadni. Az eddig magabiztosnak hitt kezünkben 
megremegett a csillagcsavarhúzó. 

Begyakorolt mozdulatokkal nyúltunk az EventLog felé, ami bi- 
zony tele volt piros pontocskákkal. A bejegyzések DNS prob- 
lémára utaltak. (Mint mindig — a szerk. Az AD-problémák 
13790-a DNS hibára vezethető vissza.) 

És valóban, a DNS-be csak félig kerültek bele az AD működé- 
séhez szükséges bejegyzések! A megfelelő hibajavító eszközök 
közül a Visual Command Promptos megoldást választottuk 
(Manual Wizard). 








Ezután a DNS feltöltődött a kívánatos szeméttel (SRV-rekordok 
stb.), tehát szemre a DNS-ben minden kijavult. Hittük mi. Saj- 
nos a gép nem óhajtott kommunikálni a másik Domain Cont- 
rollerrel, úgyhogy reboot. 

Újabb izzadságszag terjengett a levegőben, mivel a gép újrain- 
dítás után is lassú volt — de az eventlog már megváltozott! Mint 
kiderült, autentikációs probléma miatt nem tudta rendesen le- 
kommunikálni a dolgait a másik géppel. Ez álatt azt értsük, 
hogy — mit is? Káoszt! A két tartományvezérlő hátat fordított 
egymásnak! Pedig az Active Directory Users and Computers- 
ben látszott, hogy mindkét gép megjelent a szerverek között, 
mégsem akarták egymást szeretni! 

Pedig hajszálnyira voltunk a céltól, majdnem minden műkö- 
dött, érdekes módon még menedzselni is hagyta az egyik a 
másikat. Hmm. Éjfélt ütött a BIOS órája, amikor úgy döntöt- 
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tünk, hogy hiányos ismereteinkkel nem jutunk to- 
vább, nem próbáljuk meg hexeditorral meghekkelni 
a rendszert, hanem inkább leszedjük az AD-t, DNS-t 
és újra próbálkozunk. 

A fáradtság sunyin, rejtőzködve vár az agyunk hátsó 
részében, hogy egy előre megjósolhatatlan pillanatban beves- 
se magát, és mint a legjobb trójai programok, szinte észrevehe- 
tetlenül tevékenykedjen.... a kárunkra. Aminek eredményekép- 
pen megintcsak fáradtan kelünk fel reggel az ágyból. Ez az IT 
perpetuum mobile. Hát hajrá! 


1. DCPROMO indít. 

2. Nem, nem ez az utolsó DC! 

3. Igen remove! 

4. Admin login megadása, next, next, error.... 
Hehh? 


Olyat mondott a DCPROMO, hogy nincs jogosultságunk az 
AD eltávolításához. (Nem jó az a névijelszó, amit megadtunk. 
Pedig igen, mert közben a DC-n ki-be jelentkeztünk ugyanaz- 
Zal az accounttal). 

Végül egy sokatmondó "The DSA object could not be found" 
üzenettel megmakacsolta magát. Többszöri próbálkozás után 
úgy döntöttünk, hogy az ócskavas-DC-n töröljük a Computer 
Accountot, ezen a szép, új vason pedig a Format C:-tól megis- 
mételjük az eljárást... 

Lezúztuk (rendszergazda módra, brute force) a rendetlenkedő 
oprendszert: 


Format C: 


A második lépés kicsit váratott magára, mivel az AD nem en- 
gedte törölni az accountot, tekintve, hogy a (megboldogult) 
gép fénykorában Domain Controller volt. 


Utánanéztünk a Microsoftnál, hogyan lehet kiszedni az AD- 
ból a beragadt gépaccountot, mivel egyéb (user, appsettings, 
boss) okokból ugyanolyan névvel kellene felinstallálnunk a gé- 
pet, mint régen! 

Meg is találtuk a gyomlálás módját. Az NTDSUTIL nevű pa- 
rancssori rémálomra van szükség, amiben addig kell pszeudo- 


HA NEM SIKERÜL, 
MÉGITT VAN AZ 
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random módon fel-alá mászkálni a menükben, amíg — ki tud- 
ja, miért — eltűnik a nemkívánatos account. A [DCDEMOTE] 
címen található KB-cikk öt képernyőn keresztül sorolja a lépé- 
seket — de működik! 

Végrehajtottuk a megadott lépéseket, majd újrainstalláltuk sze- 
gény leendő szervert. Ekkor már hajnalodott, úgy döntöttünk, 
hogy AD-t most nem csinálunk, a szükséges applikációkat vi- 
szont feltesszük rá. 

Két nap problémamentes üzemelés után ismét megpróbálkoz- 
tunk az AD-vel. Varázslatos okokból kifolyólag problémamen- 
tesen felment. A szerepek átvétele után a , vadi" új, steril kör- 
nyezetre installált DC-nk gond nélkül fut. Azóta is. 


Persze mi is rájöttünk, mi volt az az ok, ami másfél éves ,elő- 
készítés" után arcátlan módon betett nekünk. 


A fáradtság. 


Ugyanis NEM jutott eszünkbe, hogy amikor az átmeneti gé- 
pünkből Windows 2000 Active Directoryt készítettünk, azzal a 
céllal, hogy megmentsük a SAM tartalmát, ezzel tényleg meg- 
mentettük a SAM tartalmát: a DCPROMO bevette a régi NT4- 
es Backup Domaint Controllert az AD-be. Honnan tudhatta 
volna, hogy leformáztuk? Felvette, mint tartományvezérlőt! 
Mi pedig erről egész egyszerűen elfelejtkeztünk. A tisztára for- 
mázott, frissen telepített Windows 2000-nek viszont (business 
okokból) ugyanazt a nevet adtuk, mint ami előtte ezen a vason 
volt. Valamilyen oknál fogva többé-kevésbé még a DCPRO- 
MO-zást is engedte, de végül csak beletörött a bicskája! 

A tanulság, hogy a NAGY horderejű változtatásokat nem elég 
megtervezni, hanem szellemileg is ott kell lenni. Különben le- 
támad az IT világ fantomja! 


Két tartományvezérlő ugyanolyan névvel nem lehet ugyanab- 
ban a hálózatban. Még akkor sem, ha nem kapunk rá határo- 
zott hibaüzenetet. :-) 


Antal István 
aistvanobrendata.hu 
Flórián István 
fistvanobrendata.hu 


BESZEREZTÉL 
MINDENT? 


Információbiztonság vagy És 


magánszféra" 


Security or Privacy? 


Napjaink egyik legfontosabb kérdésévé az információ biztonsága vált. Privacy or Security? Ez a kérdés 
az Egyesült Államoktól Európán át Ázsiáig foglalkoztatja az új információs technológiákkal dolgozó- 
kat, a felhasználókat, mindazokat, akik információt szolgáltatnak, vagy megszereznek. 


Mi szól az egyik és mi a másik mellett? A jognak először az 
egyén védelmét kellett körülhatárolnia, hiszen a jogfejlődés so- 
rán mindig az egyén szabad mozgását korlátozó, az azon nagy 
mértékben uralkodó hatalomnak biztosítottak többletjogosítvá- 
nyokat. A fejlett demokratikus jogrendszerek számára az elsőd- 
leges feladat tehát az egyéni szféra, a magánélet területének 
meghatározása és védelme volt. Erre jó példa az Amerikai 
Egyesült Államok Alkotmánya, amely több kiegészítése révén 
érte el azt, hogy ma már a magánélet (privacy) védelme oly 
mértékű, hogy az állam Internetszabályozási törekvései sorban 
visszapatannak e burokról. 

Nem maradt le azonban az európai jog sem. Az emberi jogok 
és alapvető szabadságok védelméről szóló Rómában, 1950. 
november 4-én kelt egyezmény 8. cikkelye biztosítja a magán- 
és családi élet tiszteletben tartásához való jogot. Az egyez- 
mény kimondja, hogy mindenkinek joga van arra, hogy ma- 
gán- és családi életét, lakását és levelezését tiszteletben tartsák. 
Ez az alapgondolat bekerült aztán az összes demokratikus eu- 
rópai alkotmányba, és ennek biztosítására büntető- és polgári 
jogi védelmet is nyújtanak a tiltó és szankcionáló szabályok. 


Meddig szent a magánélet? 


2001. szeptember 11.-e óta azonban megindult egy e jogfejlő- 
déssel ellentétes tendencia is. A világot megdöbbentő terrortá- 
madás előkészítésére az új típusú információs eszközöket, el- 
sősorban a világhálót használták fel. A hasonló előkészületek 
felfedésére, azok esetleges megakadályozására azonban olyan 
fokú állami kontrollt kellene lehetővé tenni, amely már komoly 
mértékben ellene hatna az előzőekben ismertetett, a magán- 
szféra védelmét biztosító jogi környezetnek. 

Amióta emberiség létezik, azóta van információ, amelynek bir- 
toklása mindig előnyt, hatalmat is jelentett. Kezdetektől voltak 
tehát törekvések arra, hogy a más által birtokolt információt 
megszerezzék, ha kell, jogellenes eszközökkel is. Az első, aki 
információt jogellenesen szerzett meg és használt fel, a mon- 
dabeli Prometheus volt, aki ellopta a tűzre vonatkozó ismere- 
teket az istenektől, és megosztotta az emberekkel. Prométeuszt 
utolérte ugyan a rettenetes büntetés, ám az információ többé 
már nem volt titkos, kikerült a privilegizált körből. 

A XXI. században az információ, a tudás a legértékesebb, leg- 
forgalomképesebb tényező. Az üzleti életben a birtokunkban 
lévő információ jelentős értéket képvisel, elvesztése, hamisítá- 
sa, megszerzése a gazdasági életben katasztrofális következ- 
ményeket vonhat maga után. Egy nemrégiben publikált ameri- 
kai jelentés szerint a 2001. évben 59 milliárd dollár vesztesé- 


get vallottak be nagyobb méretű cégek, amely a szellemi tulaj- 
don ellopása miatt érte őket. Szellemi tulajdon alatt a jelentés 
készítői minden olyan információt értettek, amely nem nyilvá- 
nos, és tulajdonosuk bizonyos intézkedéseket tesz védelmük- 
re, Ez az iszonyatos veszteség, amelynek volumene évről évre 
nő, ugyancsak azt indokolja, hogy az információs technológi- 
ák biztonságosabbá tétele érdekében szülessenek bizonyos jo- 
gi lépések. Erről az oldalról közelítve a kérdést, már nemcsak 
az állami, hatalmi kontroll erősítése jelenik meg mint érdek, 
hanem bizony a magánszféra érdeke is biztonságért kiált, 
amely lehet egy személy, de egy kisebb — nagyobb létszámú 
csoport érdeke is. 

Mielőtt azonban a védelem lehetőségeit és akadályait világít- 
juk át, nézzük meg, hogy kik is a modern kor Prométeuszai? 
Kiktől kell félteni manapság az információt? 


Prométeuszok" 


Elsődlegesen a külső szereplőket vegyük szemügyre. Ezek leg- 
ismertebb köre a hackertársadalom, akik jórész szórakozásból 
törik át a biztonságot, de náluk sokkal veszélyesebbek a céltu- 
datos támadók, az ipari kémek, hír- 
szerzők, a gazdasági versenytársak, a 
cég külső beszállítói, és végül nem je- 
lentéktelen mértékben az egyre újabb 
hírekre kiéhezett, eszközeiben gátlás- 
védelemmel keletke- . talan média. Amennyiben ezek eszkö- 
Ze az adott rendszerbe történő illeték- 
telen külső behatolás, ennek jogi ren- 
dezésére már előrehaladott lépések- 
legesen a vállalat kel találkozhatunk: a nemzetközi 

egyezmények által meghatározott 


A nem megfelelő 


zett kárért eset- 


felső vezetésének együttműködés segíti a felderítést, és 
te ezek alapján végrehajtott büntetőjogi 
kell helytállnia. szabályozás által meghatározott 


szankciók pedig komoly elrettentő 
erővel bírhatnak. 
A jog eszközei persze itt is korlátozottak, és akadályokba üt- 
köznek. Ez méginkább így van a másik csoport, az informáci- 
ót belülről illetéktelenül megszerző, és onnan kijuttató körrel 
szembeni védelem területén. Ide tartoznak a cég alkalmazot- 
tai, a cég részére más jogviszony alapján munkát végzők, nem 
elhanyagolható veszélyt jelentenek a volt alkalmazottak, a be- 
szállítók, és az ügyfelek. 
A felmérések szerint a kutatás-fejlesztés eredményei, a pénz- 
ügyi adatok, az ügyfélre vonatkozó adatok azok, amelyek a 
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! célpontot jelentik. Más csoportosítás szempontjából 
veszélyben vannak a vállalat saját üzleti titkai, a vál- 
lalat által kezelt személyes adatok (saját munkaválla- 
lók, természetes személy ügyfelek), a vállalat által ke- 
zelt céges ügyféladatok, az üzleti partnerek üzleti tit- 
kai, valamint államtitkot, szolgálati titkot jelentő adatok. 
És itt már azzal is számolni kell, hogy a nem megfelelő véde- 
lemmel keletkezett kárért esetlegesen a vállalat felső vezetésé- 
nek kell helytállnia. Hiszen az e körbe tartozó információt kü- 
lön jogszabályok védik, komoly, akár börtönbüntetést is jelen- 
tő szankciókkal sújtva azokat, akik megszegik az azok kezelé- 
sére, megőrzésére vonatkozó szabályokat. 


A levelezés veszélyei 


Az információ biztonságát fenyegető számos kritikus pontból 
ragadjuk ki a legkomolyabb veszélyt, a céges e-mail kommu- 
nikációt. E körben a tévedésből más címre elküldött e-mailek- 
től kezdve, a jogosultatlanul kiküldött leveleken keresztül a 
spam-en át a rendszer biztonságát sértő e-mail küldéséig a 
legváltozatosabb példákat lehet sorolni. E-mailen keresztül a 
jogosulatlan adattovábbítással az adatvédelmi szabályok 
megsértésétől az üzleti titok, szolgálati titok, államtitok meg- 
sértésén át, a jó hírnév, személyiségi jog megsértéséig vezet- 
het a skála, de akár a versenyjogi szabályokba ütköző maga- 
tartás is megvalósítható. Ha a cég alkalmazottja a jogszabá- 
lyokba ütköző spam-et küld ki e-mailen keresztül, cégének 
kell. De felesleges ecsetelni, hogy milyen komoly kárt okoz- 
hatott pl. a Lockheed cégnek az az alkalmazott, aki 60.000 e- 
mailt automatikus olvasás-visszaigazolás kéréssel küldött ki, 
és emiatt a cég rendszere összeomlott, és 6 órán keresztül 
használhatatlanná vált. 

A veszélyek elhárítására az információbiztonság technikai hát- 
terének kiépítése mellett szükség van megfelelő szabályozásra 
is. Szabályozás alatt értsük ide a jogi és a céges szintű szabá- 
lyozást is. A cikk elején kifejtettek arra utalnak, hogy alakuló- 
ban van az állami jogi szabályozásnak is a biztonság irányába 
történő elmozdulása, ám amíg a hagyományosan lassú jogal- 
kotás lép, a cégnek addig is meg kell tennie mindent a saját 
szintjén, vagyis meg kell alkotnia a megfelelő szabályokat, 
amelyek kellően kontrollálják a vállalati kommunikációt. Ám 
itt rögtön a privacy korlátaiba ütközünk, hiszen a magánszféra 
körében kiemelt védelmet élvez a levelezés védelme is. A vál- 
lalati szabályozásnak tehát az adott jogi lehetőségek mellett 
meg kell találnia azt a vékony ösvényt, ahol a kecske és ká- 
poszta elv alapján a legmagasabb fokú biztonságot jelentő sza- 
bályozást alakítja ki úgy, hogy közben nem sérti a szükséges- 
nél nagyobb mértékben a magánszférát. 


Életből ellesett példák 


A kérdés kényes voltára ugyancsak hozzunk fel egy példát, 
ahol a Chevron Corp. nevű cég férfi dolgozói vicces kör-email- 
jükkel, amelyben 25 érvet sorolnak fel amellett, hogy miért 
jobb a sör, mint a nő, 2,2 millió dollár kárt okoztak vállalatuk- 
nak. Ekkora összeg megfizetésére ítélte ugyanis a bíróság a cé- 
get, amiért nem akadályozták meg a női dolgozókat sértő 
e-mail terjesztését. 


Az American Management Association, US News g World Re- 
port, ePolicy Institute 2001.-ben végzett felmérése szerint a 
vizsgált cégek 
JA 819o-a rendelkezik írott szabályzattal, de csak 
XA 62.89. ellenőrzi ténylegesen az Internet kapcsolatot, 
csak 
TA 50690 követeli meg az alkalmazottak írásbeli nyilatko- 
zatát a szabályzat megismeréséről, és 
AA 2399 tart az alkalmazottaknak ePolicy képzést. 


A joggyakorlat pedig számos esetben bebizonyította már azt, 
hogy egy bíróság szemében nem az ér valamit, hogy van-e sza- 
bályzat, hanem az, hogy ezt megismertették-e a dolgozóval, és 
hogy elvárható-e a dolgozótól annak betartása. 


Mi tehát a megoldás? 


Megfelelő vállalati biztonsági politika! 
És melyek a megfelelőség kritériumai? 


TA Alkalmas — a magyar és európai jognak megfelelő — 
szabályzatok, amelyek a technikai megoldásokkal har- 
monizálnak. 

Megfelelő technikai megoldások, szűrők, szoftverek. 
A munkavállalók megismertetése a szabályzatokkal. 

A munkavállalók részére tréningek tartása, hogy megis- 
merjék a biztonsági előírások betartásának módját. 

A Szigorú ellenőrzés, számonkérés. 
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Mindezek elmulasztása esetén ugyanis komoly anyagi veszte- 
séggel számolhat a cég. A cég tulajdonosai pedig ilyen esetben 
a vezetőség felelősségének kérdését is fel fogják vetni, hiszen 

annak kötelessége lenne az informá- 


e] cióbiztonság legmagasabb fokú bizto- 
sítása. Abban az esetben pedig, ha a 
A szabályok meg- vezetőség nem tett meg mindent en- 
nek érdekében, jó eséllyel számolhat- 
alkotásánál a priVacy . nak a felelősök azzal, hogy a cég által 
kifizetett nagy kártérítési összegek, 
korlátaiba ütközünk, vagy a veszteség az ő zsebükből kerül 
majd visszapótlásra. 
hiszen a magánszféra 
Benjamin Franklin egykoron azt 
körében kiemelt mondta, hogy hárman akkor tudnak 
megőrizni egy titkot, ha kettő közülük 
védelmet élvezal]g- — halott. Nos a világ sokat változott a 
XVIII. században megfogalmazott 
velezés védelmére is. gondolatok óta, de a titkok megszer- 


zésének esélye a XXI. században az 
4 akkorinál jóval nagyobb. A titokgaz- 
dák fecsegése nélkül is megszerezhető információk védelmét 
ma már nem lehet pisztollyal megoldani, de a lehető legmaga- 
sabb biztonságot kellő előrelátással el lehet érni. 


Dr. Mayer Erika 
erikagddrmayer.hu 





Mindows 003: secure By 


Default! 


Avagy miért nem működik semmi a frissen 


telepített W2003-on? 


Windows 2003 kísérleteink során rendszeresen a legújabb buildekkel kínlódunk, hogy minél hama- 
rabb észrevegyük, mi minden változik a redmondi fejlesztések során. A változtatások persze nem fel- 
tétlenül maradandóak, de az a , trükk", ami látszólag használhatatlanná tette a 3757-es buildet, való- 


színűleg végleges. Secure By Default! 


Miután rendesen végignyomkodtam a 3757-es (nem publikus) 
build telepítőjét (Next Generation — akik a Next gombot nyo- 
mogatják), újraindítottam a gépet, és az aktiválási kérdésre 
igent mondtam (ezt a béta , terméket" a Interneten keresztül ak- 
tiválni kell). Nem sikerült. 

Néhány gyors mozdulattal ellenőriztem az IP-cím beállításo- 
kat, és mindent rendben lévőnek találtam. A szokásos reflex- 
szel megpróbáltam UNC-névvel (Vgalagonya Wwiragzik) rá- 
csatlakozni a céges kiszolgálónkra, hogy onnan — mi mást? — 
Network Monitort telepítsek. Ez sem sikerült, mégpedig azért 
nem, ,mert nincs szolgáltató, aki válaszolhatna a kérésre"! 

A következő lépés a support.microsoft.com szokott lenni, így 
elindítottam az Internet Explorert. Érdekes látvány fogadott, az 
IE elindult ugyan, de mindjárt használhatatlanná tette önmagát 
az alábbi modális (mellé-hiába-kattintasz) ablakkal: 


Sá era LrSa HE XI 


Microsolt Intemet Explorers Enhanced Security Configuration is currently enabled on your 

? server. This enhanced level of security reduces the risk of attack from Web-based content 
that is not secure, but ít may also prevent Web sites Írom díisplaying correctly and restrict 
access to network resources. 


TT Inthe future, do not show this message 


Leammore. emet Explörets Enhanced Secutíg Confiaútation..] [H-OKEE] 








E A gépen engedélyezve van az IE Enhanced Security 
Configuration. Akarom tudni a részleteket? 


A felkínált ,továbbtanulási" lehetőséggel élve elolvastam a 
mellékelt dokumentációt. Több mint érdekes! A változások lé- 
nyege az, hogy 

mA alapértelmezésben az összes hálózati kapcsolat az In- 
ternet zónába tartozik; 

HA az Internet zóna biztonságát jelentősen megerősítve 
semmilyen autentikációs adat nem megy ki a gépből 
automatikusan. Windowsos megosztásokra (UNC) sem! 

A szöveg elolvasása nélkül én bizony álmomban sem gondol- 
tam volna, hogy az Internet Explorer biztonsági beállításai a 
Windowsos fájlmegosztások elérésére is hatással vannak. Pe- 
dig ez a helyzet! 

Nézzünk meg két érdekes alapértelmezett beállítást a több tu- 
catból, mert ezek a példák rávilágítanak arra, hogy a maradék 
negyvennyolc és fél további beállítás is valószínűleg váratlanul 
fog érni minket. A bal oldali azt mutatja, hogy a helyi gyorsító- 
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tárunknak befellegzett. Alapértelmezés szerint a Temporary In- 
ternet Files mappa kiürül, amikor bezárjuk a böngészőt! Ez azt 
jelenti, hogy vége a sütikorszaknak. Vége annak, hogy egy 
webhely illedelmesen, nevemen szólít, amikor visszatérek 
hozzá? Lehet, hogy vége, mivel a hétköznapi felhasználók nem 
fogják gépükön átállítani az alapértelmezett beállítást valami 
másra! 

A Microsoft valószínűleg sejthette ezt, nem véletlen, hogy 
ASP.NET-ben kukimentes állapotátviteli lehetőség is van. 
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Gereral] Secusty] Pivany] Carter] Connecsona ] Progjams . Advanced 


Ó Ju özolag the rents m the men window 7 
0 Just goto the most ikely ste 
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Chect för putkshert cetéeste tevocaton 
EJ] Creci her server certécáte tevocsben hegye: restart] 
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(B Szreting of Java applets 


Herr 6 Dsatle 
O Enable 
O Prompt 
Cs]. cm [ mu Kelta 
Logon 


O Anonymous logon 
O Automatic logon only in Intranet z0ne 


Aujtommatk logon véth current username and passw 
(OD Prompt for user name and password 7 





[d 

Két hihetetlennek tűnő 
alapértelmezett 
beállítás az Internet 
Explorerből 


A jobb oldali pedig egy valódi forradalmi újdonságot mutat: 
végre meg merték tenni, hogy az Internet zóna biztonsága ma- 
gas (High) legyen! Itt ülök a Windows XP-m előtt (amelyen — 
rendes júzerként — sosem piszkáltam a biztonsági beállításokat) 
és csodálkozva nézem, hogy alapértelmezésben az egész In- 
ternet csak közepes (Medium) biztonságot érdemelt! Ennek is 
vége. Most először merték kimondani (és beállítani), hogy az 
ismeretlenbe ne küldjön az IE semmiféle nevet és jelszót a tud- 
tom nélkül! 

A dolog hátulütője, hogy így semmi nem működik. Fájlokat és 
nyomtatókat nem lehet elérni, tartományhoz nem lehet csatla- 
kozni... 
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Secure By Default! 


Windows 2003: 


2b 


Kiútkeresés 


Sok kiút van, ezek közül azokat vizsgáljuk meg, ame- 
lyek nem űznek csúfot a Tervezők akaratából (vagyis 
például nem foglalkozom azzal a lehetőséggel, hogy 
az Internet zónát hogyan lehet alacsony [Low] biz- 
tonságú fokozatba taszítani). 

A dokumentáció szerint az a helyes eljárás, ha az elérni kívánt 
szolgáltatásokat felvesszük a megfelelő zónákba. Tehát a helyi 
erőforrások elérése érdekében a helyi hálózatot, vagy annak 
egyes gépeit felvesszük a Local Intranet zónába, így: 





pee de duna 


General" Security ] Privacy ]/ Content] Connections ] Programs ] Advanced] 
Select a Web content zone to specify íts security settings. 


VIS GE 
















Intermet Tiustedsítes — Restricted 
sites 
Local intranet 
This zone contains all web sites that Sites... I 
are on your organizations intranet. 
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ag You can add and remove Web sites from this zone, All web sites 


Local intranet 


in this zone will use the zones security settings. 


Add this Web site to the zone: 


I Wplatanicikk 
Wweb sites: 
Remove ] 


hep://system 
a Íhttp:/flocalhost 
https://localhost 


E Az elérni kívánt hálózati helyeket felvesszük a Local 
Intranet zónába 


Az UNC útvonal megadása után egyébként egy file:// URL ke- 
rül be a listába. Ezek után a fájlmegosztás elérése zökkenő- 
mentes — arra az egy gépre, amit felvettem a listába. (Érdeme- 
sebb egész DNS-tartományokat felvenni, mert így egyszerre 
egy sereg gép bekerül a Local Intranetbe.) 

Ez a megoldás kielégítőnek tűnik, következzen tehát a második 
rituálé", a leveleim elolvasása OWA segítségével. Bepötyögöm 
a szokásos //galagonya/exchange URL-t, és ezt kapom jutalmul: 
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$ Content in this Web site is being blocked by. 
Intemet Explorer Enhanced Security 
Configuration.. 





TT inthe future, do not show this messagei 





This web page is attempting to display content from Add... 
chttp:Z/platano. If you trust this web site, you can lower — 

the security settings for the web síte by adding it to the 

Trusted sites zone. 


Important: adding this web site to the Trusted sítes zone will lower the security 
EALER ÉNTN AS ST EE KE Ae tát e ota Írásos? 


E A weblap tartalmát megette az IE Enhanced Security 
Configuration 


Az üzenet értelme röviden az, hogy a weblap által nyújtott tar- 
talom olyan elemeket (OWA esetén JScript, de lehetne ActiveX 
komponens is) tartalmaz, amelyek a jelenlegi biztonsági beál- 


lítások szerint károsnak minősülnek, így — biztos ami biztos — 
az egész lapot elveszi tőlem. Viszont kaptam egy , Add" nyo- 
mógombot, hogy ha megbízom a webhelyben, hozzáadhas- 
sam a Trusted Sites zónához. 

Ami azért furcsa, mert az imént vettem fel ugyanezt a gépet a 
Local Intranet zónába. Igen ám, de először is FILE:// URL-lel (ez 
meg itt HTTP://), másodszor pedig nem a webhelyek (sites) kö- 
zé, pedig az OWA az egy webszájt. 

Nem sokat teketóriáztam, felvettem mégegyszer ugyanazt a gé- 
pet. Így vettem észre, hogy a windowsupdate.microsoft.com 
gyárilag bent van a megbízható webhelyek listájában! Így ha a 
terméket aktivizálni nem is, de peccseket letölteni alapból le- 
het ;) Hopp, az oca.microsoft.com is bent van (OCA - Online 
Crashdump Analysis)! Kék halál dumpfájlokat is felküldhetünk! 
A Local Intranet és a Trusted Sites közötti megannyi apró beál- 
lítási eltérést a legelső figyelmeztető ablakból nyíló HTML-ol- 
dalon olvashatjuk el részletesen. 


Kompatibilitás, a biztonság halála 


Ha valaki olyan környezetben dolgozik, ahol még mindig van- 
nak Windows 95-ök és hasonló őslények, sajnos a zónákba pa- 
kolással sem fog ereményt elérni, mert (a dokumentumból ki 
nem derülő változtatás miatt) az IE Enhanced Security nem 
kompatibilis, csak az NT4 SP3-nál ifjabb rendszerekkel. Az 
együttélés kivitelezhetősége érdekében létezik még egy drasz- 
tikus módszer, ez pedig az IE Enhanced Security eltávolítása a 
rendszerből. Ezt a Windows-komponensek szokásos telepítési 
helyén, az Add/Remove programsban tehetjük meg. Érdemes 
megfigyelni, hogy külön eltávolítható a júzerek és a rendszer- 
gazdák számára. Ez némi átgondoltságra utal, mi is legyünk 
megfontoltak, és — ha valóban nincs más módszer — csak a fel- 
használóknál lazítsunk a hurok szorításán. Az Administrator 
csak hadd szenvedjen! 





Windows Components Wizard 


Windows Components 
"You can add or remove components of Windows. 








To add or remove a component, ciick the checkbox. A shaded box means that only 
BET S et To see whats included in a component, click 
.Components; 
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E Az IE Enhanced Security eltávolítása 


A legfontosabbat majd" el felejtettem: a termékaktiváláshoz egy 
pillanatra , Low"-ba kell tenni az Internet zónát, mivel a varázs- 
lóból nem derül ki, pontosan melyik URL-t kellene felvenni a 
Trusted Sites-be. Nesze neked biztonság. De hát ez még béta. 


Fóti Marcell 

marcellfonetacademia.net 

A szerző a NetAcademia vezető oktatója 
MCSE, MCT, MCDBA, MZ/X 
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A [Microsoít operációs rend- 
szerek biztonsági tényezői 


III. rész — Gyenge pontok, megoldások 


Még felsorolni sem könnyű, hogy hol és mennyi biztonsági szolgáltatást, funkciót halmoztak fel a 
Microsoft szoftvermérnökei a cég zászlóshajójában. Ezzel együtt nem szabad elhallgatnunk, hogy to- 
vábbra is vannak gyenge pontok a rendszerben, amelyek folyamatos törődést igényelnek. Dióhéjban 
áttekintjük ezeket, valamint a problémák leküzdésének eszközeit is. 


Nagy forráskód 


A Windows 2000 megjelenése előtt több statisztikai jellegű 
adat is napvilágot látott. Az egyik ilyen adat arról tudósított, 
hogy a Windows NT 4.0-hoz képest a rendszer 8099-át újraír- 
ták. Ezért — bár látszólag csak egy újabb verzióról van szó — va- 
lójában egy új termék született. Néhány tanácsadó cég óva in- 
tette a felhasználókat a korai alkalmazástól, mondván, egy 
.1.0-ás verzió" rengeteg gyermekbetegséggel és biztonsági hi- 
ányossággal küzd. Szárnyra kapott olyan adat is, miszerint a 
Windows 2000 legalább 45-50.000 hibát rejt magában. A szá- 
mítások alapja az a statisztikai megfigyelés volt, miszerint 
1000 programsorra átlagosan 2-3 hiba jut. A Windows 2000 
pedig 15.000.000 sorból áll. Köztudott továbbá, hogy egy 
szoftvertermék sohasem hibátlan állapotban kerül a piacra, ha- 
nem akkor, amikor a hibák előfordulási valószínűsége egy bi- 
zonyos szint alá csökken. 

A Microsoft, — amellett, hogy cáfolta a híreket — nagyon ko- 
moly gondot fordított arra, hogy a lehető legkevesebb hibával 
— főleg biztonsági hibával — rendelkező terméket bocsásson ki. 
A megjelent termékben a tényleges hibák száma ugyan messze 
nem érte el a fent említett negatív várakozásokat, és lényege- 
sen kevesebb volt, mint a korábbi NT verzióban, az elmúlt két 
évben mégis több száz szoftverfoltot és három nagyobb javító- 
csomagot kellett kiadnia a gyártónak. A lényeges javulás elle- 
nére ez mégis túl sok volt ahhoz, hogy érdemben javítson a 
cég termékeinek megítélésén. Úgy tűnik, hogy a hibák statisz- 
tikai tényezőként való kezelése az igazi probléma. Amennyi- 
ben ez az elv fennmarad, az egyre nagyobb forráskód statiszti- 
kailag növekvő veszélyt jelent majd. 


Kényelem kontra biztonság kontra kompatibilitás 


A biztonsági tényezők alkalmazásakor sokszor felhívják a szak- 
emberek a figyelmet, hogy a biztonság növelése gyakran a ké- 
nyelem és a használhatóság rovására történhet. Biztonságo- 
sabb a jelszóval történő azonosítás, mintha ilyen nem történik, 
de meg kell jegyezni a titkos jelsort (kényelem csökkenése), és 
ha tévesen adjuk meg a minket azonosító adatokat, a rendszer 
kizárhat minket (a használhatóság korlátozódik). 

Az üzemeltetési tapasztalatok azonban azt mutatják, hogy egy 
harmadik dimenzió is befolyásolja a biztonsági funkciók beve- 
Zetését, ez pedig a kompatibilitás. A rendszer egyes elemeit 
más-más csoportok fejlesztik, akik eltérő sebességgel képesek 
a központi biztonsági igényekhez alkalmazkodni. A fürtszol- 
gáltatás például nem képes a Kerberos hitelesítésre, így akik ezt 
a szolgáltatást igénybe veszik, nem tudnak tisztán Kerberos 


rendszert bevezetni. Sőt, a helyzet még ennél is rosszabb volt, 
mert a 3-as javítócsomag megjelenése előtt a fürtszolgáltatás 
NTLM hitelesítést használt, tehát még az NTLMv2-es, erősebb 
szabványt sem lehetett alkalmazni. Hasonló probléma a DNS 
zónák biztonságos frissítése és a gyermektartományok létreho- 
zása, amiről korábban már szóltunk. Ugyancsak kompatibili- 
tási gond a NAT és az RRAS közös szerveren való használata. 
A NAT megvalósítása során ugyanis olyan tervezési döntés szü- 
letett, mely szerint a betárcsázáskor használt interfész külső 
lábnak" minősül, így a betárcsázók nem képesek a NAT szol- 
gáltatáson keresztül elérni külső IP címtartományokat. A terve- 
zési problémát a Windows .NET kiszolgáló orvosolja ugyan, 
de a hiba jól jelzi a különböző programozócsoportok közötti 
összhang hiányát. 


A Microsoft biztonságot növelő tevékenységei 


Megértve azt, hogy a biztonság nem egy állapot, hanem in- 
kább egy folyamat, a világelső szoftvergyártó számos olyan, 
teljesen ingyenes szolgáltatást kínál a termékeihez, amelyek 
hatékonyan segíthetik az üzemeltetőket a Windows rendszerek 
biztonságosabbá tételében. Vizsgáljuk meg, mint tesz a Micro- 
soft a rendszerein , kívül és túl", hogy az ügyfelei elégedetteb- 
bek legyenek, és nagyobb biztonságban érezzék magukat. 


Tervezés 


Azok a hibák a legveszélyesebbek, amelyeket a tervezéskor 
követnek el, mert ezek alapvetően meghatározzák a szoftver 
tulajdonságait, és nehezen javíthatók. A Microsoft úgy igyek- 
szik ez ellen védekezni, hogy a szoftvertervezés eljárásrendjé- 
be beillesztette a biztonsági funkciók implementálását. Számos 
esetben nem a spanyolviasz feltalálásával foglalkozik a cég, 
hanem átveszi az Internetes közösség által fejlesztett szabvá- 
nyokat (Kerberos, IPSec, LZTP stb.), amelyek többnyire a biz- 
tonsági kérdéseket is megfelelő módon kezelik. A sok saját 
szabvány erőltetése helyett így egy átláthatóbb, és összekap- 
csolható architektúra jöhet létre. 


A Windows 2000 fejlesztőcsapat átszervezése 


A Windows NT-t kezdetben 4-5 ember fejlesztette. A kis létszám 
és a kicsi kód nagyon gyors fejlesztési periódust tett lehetővé. A 
Windows 2000-et viszont több ezer ember készítette, az ő 
munkájuk megszervezése egész más elveket kívánt, mint amit 
korábban a cég alkalmazott. A fejlesztő szervezetet többször 
átalakították úgy, hogy egyrészt a fejlesztési periódus sebessége 
ne csökkenjen, másrészt a szervezet működése hatékonyan se- 
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gítse a hibás kód elkerülését vagy a hibák gyors észle- 
lését és kijavítását. A kezdeti állapotokról, majd a vál- 
tozásokról Mark Lucovsky előadásában lehet bőveb- 
ben olvasni a [windev] számmal jelölt címen. 


Ha nem is kizárólag a biztonságos rendszerek fejlesztése miatt, 
de részben ilyen szándékkal is készült a .NET keretrendszer. A 
.NET mindenekelőtt intelligens XML webszolgáltatások plat- 
formja kíván lenni. Azonban biztonsági szempontból is sok le- 
hetőséget kínál a felhasználók és a fejlesztők számára. Ezek a 
következők: 

A Szerepalapú biztonsági beállítások. A Microsoft szándé- 
kai szerint .NET környezetben a felhatalmazás (autho- 
rization) és a hitelesítés (authentication) a felhasználók 
személyazonosságán és szerepén alapul. A hitelesítés 
magában foglalja a megfelelő adatok vizsgálatát (pl. 
felhasználónév és jelszó), és annak megállapítását, 
hogy a felhasználó valóban az-e, akinek állítja magát. 
Miután a hitelesítés megtörtént, a .NET alkalmazás 
megállapítja, hogy a felhasználó milyen szerepkörrel 
rendelkezik (pl.: pénzügyi igazgató, számviteli előadó 
stb.), és milyen műveletek megengedettek a számára. 
A .NET keretrendszer minden általánosan ismert hitele- 
sítési módszert támogat, beleértve az alap (basic), a ki- 
vonatolt (digest), az NTLM, a Kerberos és az SSL/TLS 
ügyféltanúsítványokat. Lehetőség van a Microsoft .NET 
Passport hitelesítési módszer használatára is. A kivá- 
lasztott módszertől függetlenül a fejlesztők számára 
konzisztens programozási modell áll rendelkezésre, 
hogy a biztonsági funkciókat beépítsék alkalmazá- 
saikba. 

A Evidence-based és code access security. A rendszer- 
gazdák előírhatják, hogy mely erőforrásokat érhet el 
egy bizonyos kód attól függően, hogy honnan szárma- 
zik (egy adott könyvtárból, az Internetről vagy Intra- 
netről) vagy milyen jellemzői vannak, például rendel- 
kezik-e egy bizonyos digitális aláírással stb. Így az ada- 
tok jobban védhetők az ismeretlen vagy csak részben 
megbízható kóddal szemben. (Erről Soczó Zsolt részle- 
tes cikket írt a 2002. decemberi számban.) 

HA Kriptográfia. A .NET keretrendszer függvényeket tartal- 
maz a titkosításhoz, a digitális aláírások, jegyek és vé- 
letlen számok előállításához. Támogatott algoritmus a 
DES, a 3DES, az RC2, az RSA, a DSA és az XML digi- 
tális aláírás specifikációk. 


Online biztonsági szolgáltatások 


A Microsoft sok éve üzemeltet a saját honlapján belül egy biz- 
tonsági oldalt, amely megfelelő kiindulópont a felhasználók, 
rendszergazdák, fejlesztők és az üzleti döntéshozók számára, 
hogy megtalálják a rendszerük biztonságosságát technikai érte- 
lemben növelő erőforrásokat, eszközöket. Tulajdonképpen egy 
online szolgáltatás gyújtópontjába kerülünk, ahonnan az igé- 
nyeink és helyzetünk szerint kerülhetünk más, konkrét problé- 
mákon segítő lapokra. 


Biztonsági hírlevél (Security bulletins). 


A Microsoft biztonsági hírleveleken keresztül tájékoztatja ügy- 
feleit a feltárt biztonsági hiányosságokról. A hírlevélnek kódja 
van, amely a kiadás évét és egy sorszámot tartalmaz. Az MSO2- 
071 azt jelzi, hogy a 2002-ben felfedezett 71-dik biztonsági hi- 
báról van szó. A hírlevelek szerkezete kötött. Tartalmazza a 


biztonsági hiba leírását, a hiba el nem hárításából adódó lehet- 
séges következményeket. Meghatározza, hogy mely terméke- 
ket érinti a hiba, és azt, hogyan lehet ellenőrizni, hogy érintet- 
tek vagyunk-e. Ezután a hírlevél instrukciókat sorol, amelyek- 
kel a hiba megszüntethető. Ez lehet egy rendszerparaméter 
módosítása, egy biztonsági folt letöltése és telepítése vagy a 
Windows Update weboldalra való ellátogatás. 

A biztonsági hírlevél kiadásával egyidejűleg a Microsoft meg- 
jelentet egy tudásbázis-cikket is, amely szintén tartalmazza a 
fent már leírtakat, és esetleg további technikai részletekkel 
szolgál. Ezt a cikket frissítik, miután a javítás bekerül egy na- 
gyobb javítócsomagba. A tudásbázis cikknek is van egy kódja 
(pl.: 0328310), amelyre más cikkek hivatkozhatnak. A cikket 
keresőszavakkal és kifejezésekkel látják el, hogy később csak a 
jelenség megfogalmazása után is rá lehessen találni a cikkre, 
mint megoldásra. 

A hírlevelet természetesen elő lehet jegyeztetni, így a biztonsá- 
gi rés felfedezése után azonnal értesülhetünk a tényekről, és ta- 
nácsokat kapunk, hogy mit tegyünk védelmünk érdekében. 


Módszertanok és biztonsági eljárás-ajánlások 

Külön említést érdemel, hogy a redmondi szoftvercég a saját 
termékeinek bevezetéséhez, üzemeltetéséhez és karbantartá- 
sához saját (a legszélesebb körben elfogadott brit ITIL mód- 
szertanra épülő) módszertant fejlesztett ki, amely három keret- 
rendszerből áll. 
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Technology Business 


A Microsoft Readiness Framework (MRF) keretrendszerben le- 
het felkészíteni a szervezetet valamely technológia befogadá- 
sára. 

A Microsoft Solution Framework (MSF) a tényleges bevezetés- 
hez nyújt segítséget. A Microsoft Operation Framework (MOF) 
a mindennapi működéshez ad szervezési támogatást. 
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Ez utóbbi keretrendszer önmaga is négy részre oszlik: a váltás 
(változás), működtetés, támogatás és optimalizálás negyedek- 
re. Az egyes negyedek már olyan konkrét szolgáltatásfunkciók- 


ra bomlanak, mint például a konfigurációkezelés, hálózatad- 
minisztráció stb. 

Miután a rendszer életciklusa szerint megtörtént az egyes funk- 
ciók meghatározása, a modell felállít egy olyan szervezetet, 
amelyben funkciók szerint vannak elkülönítve a feladatok. Ezt 
team-szerep fürtnek (team-role cluster) nevezi a modell. Hat 
szerepet különböztet meg: kibocsátás, infrastruktúra, támoga- 
tás, működtetés, kapcsolattartás és biztonság. 
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Minden egyes szerephez felelősségi köröket lehet rendelni. Mi- 
után e modell szereplőit és feladatait definiáltuk, el kell végez- 
ni egy megfeleltetést. Az egyes szerepek ugyanis a MOF-mo- 
dellben több negyedhez is tartoznak. Könnyű belátni, hogy a 
biztonsági feladatokat mind az üzemeltetés, mind az optimali- 
zálás során el kell látni. A modell tehát hozzárendeli a szere- 
peket a működési ciklus negyedeihez és a szolgáltatásfunkci- 
ókhoz. Ám ennél többet is megtesznek a modell készítői. A 
MOF részletezi azokat a szerepeket, amelyeket más szerepek- 
kel együtt be lehet tölteni, és azt is meghatározza, hogy melyek 
az egymást kizáró szerepek. A kisebb szervezetek, amelyek 
kénytelenek összevonni bizonyos felelősségi köröket, világos 
eligazítást kapnak, hogy mely feladatokat lehet azonos munka- 
vállalóra bízni, és melyeket nem. 
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A keretrendszer segít megtervezni a támogató szervezet felépí- 
tését, a felelősség és munkamegosztás optimális kialakítását. 
Mindehhez azonban egy újabb dimenziót is figyelembe kell 
venni, mégpedig a termékeket. A termékek tulajdonképpen 
eloszlanak az egyes negyedekben. A Windows 2000-nek van- 
nak változáskezeléssel kapcsolatos szolgáltatásai és biztonság- 
gal kapcsolatos funkciói mind a bevezetés, mind az üzemelte- 
tés során. A Microsoft az üzemeltető és a biztonsági szerepek- 
re gondolva számos szoftveréhez megjelentetett úgynevezett 
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,Operations Guide"-ot, vagyis üzemeltetési ajánláso- 
kat, amelyek a termékekből fakadó, de a keretrend- 
szer által definiált feladatokat összegzik. Ilyen példá- 
ul az ,Exchange 2000 Server Operations Guide" 
vagy a , Windows Operation Guide". Emellett a 
biztonsági szerepekhez elkészült már a , Security Operations 
Guide for Exchange 2000" és a , Security Operations Guide for 
Windows 2000 Server". Ha egy speciális Microsoft-termék ese- 
tén a felhasználó nem talál ilyen átfogó üzemeltetési ajánlást, 
még mindig lehet támaszkodni az ún. legjobb megoldásokhoz 
(Best Practices), amelyek a legnagyobb felhasználóknál szer- 
zett tapasztalatokat foglalják össze. 

A működési keretrendszer, a szerepek definiálása és a termé- 
kekhez tartozó üzemeltetési ajánlások vagy legjobb megoldá- 
sok együttesen gyakorlatilag ,hézagmentes" megoldáshoz ve- 
zetnek, az üzemeltetés (és így a biztonság) minden aspektusát 
kézben lehet tartani. 


Biztonsági eszközök 


Miután létezik a módszer, és megvan a lehetőség, hogy az op- 
timális üzemeltető szervezetet kialakítsuk, továbbá instrukció- 
ink is vannak, hogy milyen módon tegyük biztonságosabbá a 
rendszerünket, el kell végezni a technikai biztonsági elemzést. 
A felkészülés után tehát a ,légy biztonságosabb" (Get Secure) 
felszólításnak tehetünk eleget. A Microsoft (jelenleg még) sok- 
féle eszközzel segíti a rendszer biztonságosabbá válását. Ezek 
között vannak dokumentumok és segédprogramok. A doku- 
mentumok egy-egy termékre vonatkozóan tesznek biztonsági 
beállítási javaslatokat, baseline-okat. A Microsoft korábbi ter- 
mékeinél a könnyű üzemeltethetőség kedvéért minimális biz- 
tonsági alapszintet határozott meg. Amikor tehát a termék a pi- 
acra került, képes lett volna ugyan védekezni bizonyos táma- 
dások ellen, de ezek a védelmi képességek ki voltak kapcsol- 
va, mert az üzemeltetők többsége semmilyen paramétert sem 
állított át a gyári beállításokhoz képest. A szoftvercég megértet- 
te álláspontja helytelenségét, és a meglévő termékek esetén a 
biztonsági beállítási javaslatok kiadásával próbálta ellenállób- 
bá tenni szoftvereit a támadásokkal szemben. 

A rendszergazdákat azonban nem csak írásokkal segítik. A kö- 
vetkező felsorolás a legfontosabb segédprogramokat sorolja fel, 
amelyekkel biztonságosabbá tehetők a Windows rendszerek. 


IIS Security Lockdown Tool. Egy webszerver akkor tekinthető 
biztonságosnak, ha csak a szükséges funkciók működnek a 
rendszeren. A ,szükséges" meghatározását segíti az IIS Lock- 
down eszköz, amely jól konfigurálható módon képes lezárni 
azokat a funkciókat, amelyek nem használtak, és amelyek po- 
tenciális veszélyt, támadási felületet jelenthetnek. Az eszköz 
használata azért veszélyes, mert minden elővigyázatosság el- 
lenére képes használhatatlanná tenni a már működő webes al- 
kalmazásokat. A végleges beállítás előtt ezért célszerű egy 
tesztrendszeren elvégezni a szerver lezárását. 


Security BaseLine Analyser. Egy grafikus felületen keresztül he- 
lyi és távoli kiszolgálók biztonsági hiányosságait igyekszik fel- 
deríteni a program. Egy Internetről letöltött XML-állomány ké- 
pezi a vizsgálat alapját, amely az aktuális hotfixek listáját és 
egyéb biztonsági ismereteket tartalmaz. A kiszolgáló fájljait 
összehasonlítva az XLM-adatbázis tartalmával megmutatja, 
hogy milyen javítások hiányoznak a rendszerből. A javítófoltok 
hiánya mellett bizonyos beállításokat is ellenőriz a program, és 
ha azokat nem találja kellően biztonságosnak, jelzi az elké- 
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szült jelentésben. Az ellenőrzés után részletes leírást 
kapunk arról, hogy a program mit ellenőrzött, mi lett 
az eredmény, és hogyan lehet a biztonsági rést eltá- 
volítani. 


HFNetCheck. Az előző segédprogram parancssori változata. 
Windows NT 4.0 és Windows 2000 operációs rendszereket 
vizsgál, továbbá IIS4, IIS5, SOL7, SOL2000 valamint az Inter- 
net Explorer 5 és 6 alkalmazások biztonsági hiányosságait is 
képes megállapítani. Ugyanúgy egy Internetről letöltött XML- 
állományt használ. A grafikus felülettel szemben ezt az eszközt 
be lehet illeszteni egy olyan programkörnyezetbe, amely auto- 
matikusan végigfésüli a hálózat valamennyi Windows számító- 
gépét. A vizsgálatról ugyanúgy készülhet jelentés. 


Outlook E-Mail Security Update. Egy speciális javítócsomag- 
ról van szó, amely a Microsoft egy levelezőprogramjának, az 
Outlooknak a biztonsági hibáit javítja. Az eszköz célja elsősor- 
ban a kártékony csatolt állományokat tartalmazó levelek szű- 
rése és a további fertőzések megakadályozása. 


URLScan Security Tool. Egy olyan ISAPI szűrőről van szó, 
amely elemzi az Internet szervernek küldött kéréseket, és 
megpróbálja kiszűrni a potenciálisan támadó jellegűeket. Az 
eszközt egybeépítették az IISLockdownnal, de külön is hasz- 
nálható. 


Event Comb. Egy többszálú alkalmazás, amely sok távoli ki- 
szolgáló eseménynaplójában képes egyszerre eseményeket ke- 
resni. A program lehetővé teszi, hogy egy vagy több esemény- 
azonosító vagy egy eseményazonosító intervallum felhaszná- 
lásával keressünk. A keresés szűkíthető csak egy bizonyos ese- 
ménynaplóra (pl. csak a rendszernaplóra), egy bizonyos ese- 
ménytípusra (pl. csak figyelmeztetésre), eseményforrásra, stb. 


OChain. Ezzel a segédeszközzel elérhető, hogy a javítófoltokat 
sorban, egymás után telepíthessük, és csak a legutolsó után 
kelljen a rendszert újraindítani. Ellenkező esetben minden ja- 
vítófolt után le kellene állítani a rendszerünket. 


Képernyővédő a biztonságról. 

Egy forráskóddal együtt letölthető képernyővédő, amely a fel- 
használók és rendszergazdák számára 10-10 megszívlelendő 
mondatot tartalmaz. A vállalati hálózatban való szétterítése nö- 
velheti a felhasználók és az üzemeltetők biztonság-tudatosságát. 


Patch menedzsment 


Ha már elértünk egy biztonsági szintet, azt meg is kell tarta- 
nunk. A Microsoft ezt a fázist a , maradj biztonságban" (Stay se- 
cure) jelszóval illeti. Három ingyenes eszköz segíti a Windows 
felhasználókat. 


Windows Update website. Online, bárki által használható 
szolgáltatás. A webhelyet elérve néhány telepítendő ActiveX- 
komponens kerül a gépünkre. Ezek átvizsgálják a rendszerün- 
ket, és megállapítják, hogy milyen alkalmazásokat telepítet- 
tünk, valamint, hogy a Microsoft alkalmazások esetén milyen 
javítófoltok vagy csomagok hiányoznak. A vizsgálat eredmé- 
nyeképp kapunk egy listát, amelyben a webhely javaslatot 
teszt, milyen csomagokat töltsünk le feltétlenül. Emellett le- 
hetőségünk van nem kritikus alkalmazások frissebb verzióira is 
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áttérni (pl. MSN Messenger). Az alkalmazások mellett az esz- 
közmeghajtók átvizsgálását is elvégzi a program, és ha van fris- 
sebb meghajtó, akkor azok telepítését is javasolja. 

A szolgáltatás megjelenésekor vegyes érzelmeket váltott ki. 
Voltak, akik egyszerűen kémprogramnak titulálták a megol- 
dást, mondván, nem lehet tudni, hogy a cég mit tesz a meg- 
szerzett adatokkal. Voltak technikai kifogások is, mert a web- 
hely csak a jól letesztelt javítófoltokat tartalmazza, vagyis nem 
teljesen naprakész. Sokan azt kifogásolták, hogy kritikus biz- 
tonsági hibának minősített az alkalmazás olyan szituációt, 
amikor valaki nem a legfrissebb böngészővel rendelkezett. A 
nagyvállalatok azt kifogásolták, hogy a webhely feltételezi a 
rendszeradminisztrátori jogkört a helyi gépen, különben a kri- 
tikus javítócsomagok és az eszközkezelő frissítések meghiúsul- 
nak. Végül az ellenkezés hullámai elcsitultak, és mára havon- 
ta mintegy 300 millió letöltés történik csak erről a helyről. Ha 
más nem, ez világosan mutatja, hogy a Microsoft fontos lépést 
tett a végfelhasználók biztonságának növelése érdekében. 


Office Update. A Windows Update az operációs rendszer és 
kiegészítőinek frissítését végzi el. Az Office alkalmazások egy 
hasonló webhellyel rendelkeznek, és az Office 2000 illetve 
Office XP csomagok esetén tesznek javaslatot a frissítések vég- 
rehajtására. 


Software Update Services. A nagyvállalati igények kielégítésé- 
re született meg a Windows Update webhely , letölthető" vál- 
tozata. A rendszerüzemeltetők kialakíthatnak egy olyan intra- 
net lapot vagy hierarchikus rendszert, amelyről az ügyfélgépek 
automatikusan letölthetik a javítócsomagokat és eszközírissíté- 
seket. A megoldás egyik előnye, hogy sávszélességet lehet 
megtakarítani azzal, hogy minden gép csak a hozzá közel el- 
helyezkedő szerverhez fordul a frissítésekért, és nem közvetle- 
nül az Internetre. 


Megvásárolható alkalmazások 


Bár mindeddig csak a Windows 2000-ről és a hozzá kapcsoló 
ingyenes kiegészítőkről volt szó, mégis érdemes néhány mon- 
dat erejéig megemlíteni a Microsoft azon termékeit, amelyeket 
ugyan külön kell megvásárolni, mégis hatékonyan segíthetik a 
biztonságosabb Windows környezetek kialakítását. j 


Systems Management Server (SMS) — Eredetileg a változáske- 
zelés és a felhasználó-támogatás eszközeként definiálták ezt a 
terméket, de a nemrég megjelent , Feature Pack" kiegészítés- 
sel a ma ismert egyik leghatékonyabb folt- és javítócsomag te- 
rítő rendszerré vált, megtartva természetesen az eredeti funk- 
ciókat is. 


Microsoft Operation Manager (MOM) - A hatékony, tudásbá- 
zis alapú szerver-menedzsment funkció mellett rendelkezik 
eseménynapló-konszolidátor képességekkel is. A naplóesemé- 
nyek elemzésére és automatikus beavatkozásra képes ter- 
mékről van szó. Kiegészítő modulokkal (NetlO) hatékony biz- 
tonsági audit rendszer építhető vele. 


Internet Security and Acceleration Server (ISA) — A Microsoft 
intelligens, modulokkal bővíthető, címtárral integrálható tűz- 
falmegoldása. A dinamikus csomagszűrés és címfordítás mel- 
lett ellátható alkalmazásszűrőkkel, behatolásérzékelő modu- 
lokkal. A védelmi funkciók mellett gyorsítótár szerepet is képes 
játszani egyedül, tömbben (redundánsan) és hierarchiában. 


Megbízható számítástechnika kezdeményezés 
(Trustworthy Computing) 


A szoftveróriás igen jelentős mennyiségű pénzt költ olyan ku- 
tatásokra, amelyek a hibátlan szoftverkód elérését célozzák. 
Sőt, a cél ennél is ambiciózusabb: a hardver- és szoftvergyár- 
tókat, integrátorokat és megoldásszállítókat összefogva 
skellően megbízható" informatikai rendszereket szeretne ké- 
szíteni a Microsoft. A ,kellően megbízható"-t úgy kell elkép- 
zelni, mint az elektromosságot. Ha nem vigyázunk, megcsap- 
hat minket az áram, de a megfelelő (nem túl sok) szabály isme- 
rete mellett az elektromos eszközök megbízhatóan működnek, 
és segítenek a mindennapjainkban. Sajnos korunk informatikai 
infrastruktúrája és alkalmazásai még nem tartanak itt. Vannak 
ugyan nagy rendelkezésre állású rendszerek (pl. repülőgép- 
jegyfoglalás), azonban óriási, centralizált felügyelő apparátus- 
sal, jórészt elszeparált, kizárólag egy célra fenntartott eszközö- 
kön működnek. Heterogén környezetben, decentralizált fel- 
ügyelet mellett, nagyszámú, különböző gyártótól származó 
eszköz esetén még nem vagyunk képesek olyan , egyszerű" kí- 
vánságokat teljesíteni, mint például: ,a szolgáltatás a szüksé- 
ges helyen és időben álljon rendelkezésre és működjön". 

A megbízható számítástechnikáról írt tanulmány (white paper) 
három perspektívát vázol fel, amelyben a megbízhatóság, bi- 
zalom értelmezhető [trustgoals]. Az első a ,célok" (goals). A 
célok a felhasználók szemszögéből a következőképp értelme- 
zik a bizalmat: 


Ami alapj 





a rendszerben megb 


Biztonság Az ügyfél (felhasználó) elvárhatja, hogy 

(Security) a rendszerek ellenállóak legyenek 
a támadásokkal szemben, és a rend- 
szer, valamint a rábízott adatok 
bizalmassága, integritása és rendelke- 
zésre állása biztosított legyen. 

Bizalmasság Az ügyfél (felhasználó) képes 

(Privacy) ellenőrzést gyakorolni a saját adatai 
felett, amelyek csak megfelelő 
információs elvek mellett használha- 
tóak. 

Megbízhatóság Az ügyfél (felhasználó) rábízhatja 

(Reliability) magát a termékre, mert az elvégzi 


a feladatát, ha szükséges. 


Az üzletmenet 
folytonossága 
(Business integrity) 


A termék szállítója felelősen viselkedik 
probléma esetén 


A második dimenzió az eszközök (means), amelyekkel a szál- 
lítóknak élniük kell ahhoz, hogy a célokat meg lehessen való- 
sítani. Ha a célok azt vázolják, hogy mit kell megvalósítani, 
akkor az eszközök azt definiálják, hogy a célok hogyan ér- 
hetők el. 


Eszközök 


Üzleti és mérnöki teendők, amelyek 


lehetővé teszik a rendszerszállítók 


számára a célok elérését 


Tervezett biztonság, 
(Secure by Design) 
Alapértelmezett bizton- 
ság, (Secure by Default) 
Biztonságos üzembe- 
állítás 

(Secure in Deployment) 


Korrekt információs 
elvek 


Rendelkezésre állás 
(Availability) 


Kezelhetőség 


(Manageability) 


Alaposság (Accuracy) 


Használhatóság 





Azok a lépések, amelyek biztosítják 
az adatok és a rendszerek 
bizalmasságát, integritását és 
rendelkezésre állását a 
szoftverfejlesztés minden fázisában, 
a tervezéstől a telepítésen át 

a karbantartásig. 


A végfelhasználók adatait sohasem 
gyűjtik és osztják meg másokkal 

a tulajdonos engedélye nélkül. A 
magánélethez való jogot az adatok 
korrekt információs elvek szerinti 
kezelésével tiszteletben tartják. 


A rendszer rendelkezésre áll, és 
használható, ha szükség van rá. 


A rendszert könnyű telepíteni és 
kezelni a méretéhez és komplexitá- 
sához mérten. 


A rendszer pontosan látja el a funk- 
cióit. A számítások eredménye 
hibamentes, az adatok védettek a 
sérülésektől és megsemmisüléstől. 


A szoftver könnyen használ- 
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(Usability) ható, és megfelel a felhasználók igé- 
nyeinek. 
Készségesség A vállalat elfogadja a problémákkal 
(Responsiveness) kapcsolatos felelősséget, és megfe- z 
lelő intézkedéseket tesz a hibák ki- je 
javítására. Az ügyfél megfelelő se- a. 
gítséget kap a termék tervezéséhez, .- 
telepítéséhez és üzemeltetéséhez. a 
E 
Áttekinthetőség A szállító folyamatainak áttekint- ek 
(Transparency) hetővé kell válniuk az ügyfél a 
számára. Az ügyfél tudja, hogy a 
a problémája (megrendelése, s 
tranzakciója stb.) milyen státuszban ta 
van a szállítónál. - 
7 
A harmadik perspektíva a végrehajtás (execution). A végrehaj- s 
eg 


tás során egy szállító a folyamatait úgy szervezi, hogy a meg- 
bízható számítástechnika kritériumainak megfelelő rendszere- 
ket készítsen. Három aspektust kell megemlíteni a megvalósí- 
tás elemzésekor: a szándék (intents) vállalati szabályokat, elvá- 
rásokat jelent a termék-életciklusra vonatkozóan. A megvalósí- 
tás (implementation) az az üzleti eljárás, amely a szándékok 
szerint jár el. Végül a bizonyosság (evidence) olyan mechaniz- 
mus, amelynek segítségével meg lehet győződni arról, hogy a 
megvalósítás a szándék szerint történt. 


A megbízható számítástechnikát legalább két idődimenzióban 
kell kezelnünk. Az első idődimenzió a jelen. Már most szükség 
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van a célok elérésére vagy legalábbis megközelítésé- 
re, de a mai rendszereket nem a fenti elveket figye- 
lembe véve készítették. Ez azonban nem azt jelenti, 
hogy nem lehet semmit tenni. A meglévő eszközök 
és szoftverek javítása a , megbízható számítástechni- 
ka" szellemében és szempontjai szerint sokat segíthet a ma 
szakembereinek és felhasználóinak, hogy közelebb kerüljenek 
céljaikhoz. A mai rendszerek javítása azonban egyúttal tapasz- 
talatszerzés is. Megvizsgálva a jelenlegi eszközöket megál- 
lapíthatjuk, hogy mit vagy mit nem javíthatunk, az információ- 
kat pedig visszacsatolhatjuk a következő generációs eszközök 
fejlesztési ciklusába. Egy figyelemreméltó akció volt a jelen 
idődimenzió kezelésére, amikor a Microsoft 2002 elején vala- 
mennyi Windows mérnökét — több mint 8500 szakembert — 
küldött biztonsági technológia továbbképzésre, felfüggesztve a 
fejlesztéseket is [backtoschool]. A monitorok elé visszatért 
mérnökök azután átvizsgálták a teljes rendszerkódot, és jóval 
megbízhatóbbá tették a Windows 2000-et a harmadik javító- 
csomag segítségével. Hasonló akciók történtek a .NET keret- 
rendszer, az Office és a Visual Studio termékcsaládoknál is. 

A másik idődimenzió a jövő, a Microsoft szerint egy évtized, 
vagy még annál is több. A szoftveróriás célja olyan rendszerek 
építése, amelyek minden ízükben biztonságosak. Olyan bizton- 
ságot vizionál a cég, amely magától értetődő és megkérdőjelez- 
hetetlen. Olyan biztonságot, amely láthatatlan, de létező és mű- 
ködő természetesség. A elérendő célokat fázisokra bontották. A 
következő fázisban ,megbízhatónak készült" (Designed for 
Trust) termékeket készül kiadni a redmondi vállalat. A Windows 
XP SP1-gyel és a .NET Server megjelenésével egy robosztusabb 
biztonsági keretrendszert szeretne adni a Microsoft a felhaszná- 
lóknak. A következő fázis a , megbízhatónak tervezett" (Archi- 
tected for Trust) szoftverek megjelenése lesz, de ehhez már új 
generációs hardvereszközökre is szükség lesz. A projekt neve 
Palladium. Ennél távolabbra egyelőre a Microsoft sem lát. 


A ,megbízható számítástechnika" egy olyan kezdeményezés, 
amely túlmutat a biztonsági kérdéseken, persze magában fog- 
lalva azokat. Túlmutat a Microsoft termékein is, és egy egész 
iparág problémáját öleli fel. Végezetül túlmutat jelen cikk ke- 
retein is. Megvalósításával szemben azonban — ismerve a je- 
lenkor technológiai korlátait — bizonyos szkepticizmus tapasz- 
talható. Személyesen azt gondolom, hogy akkor tekinthetjük 
sikeresnek a fenti kezdeményezést, ha a végfelhasználói 
szerződésből kikerülnek azok a pontok, amelyek a felelősség 
elhárítását szolgálják arra az esetre, ha a szoftver nem az elvárt 
módon viselkedik, nem áll rendelkezésre, és ebből a felhasz- 
nálónak kára származhat. 


Zárszó 


A PC megjelenésétől a megbízható számítástechnikáig igye- 
keztem megrajzolni azt az utat, amelyet a világ legnagyobb 
szoftvergyártó cége bejárt, s a múlt idő talán nem is helyénva- 
ló. A Microsoft a múltban több hibát is elkövetett, rontva ezál- 
tal a saját hitelét, egyúttal a teljes iparágba vetett bizalmat is ki- 
kezdve. A hibák mellett azonban gyakran úttörő munkát vég- 
zett. Versenytársaival szemben, akik többnyire monolit rend- 
szerben gondolkodtak (azonos hardvergyártó, azonos szoftver- 
gyártó, azonos alkalmazásszállító), a heterogén, többszereplős, 
elosztott architektúra mellé tette le a voksát. Ma már tudjuk, 
hogy az információs rendszerek győztese, az Internet is ilyen. 
A biztonsági kihívások pedig épp az ehhez hasonló rendsze- 
reknél a legkomolyabbak. A Microsoft meg kíván felelni a fel- 
használók elvárásainak, és súlyához mérten veszi ki a részét az 
informatikai szolgáltatások elterjesztésében és megbízhatósá- 
gának növelésében. 


Lepenye Tamás, MCSE 2000 
lepenyetemal.hu 


Magyarországon ma féltucat helyen tanítanak hivatalos 
Microsoft-tananyagból (MOC). A tankönyv mindenütt 
ugyanaz. 


Minden más - nálunk más! 


Oo A legfelkészültebb oktatók (a tech.net magazin szerzői) 

Oo A legtöbb információ (sok-sok plusz anyag, előadások és magyar nyelvű háttéranyagok) 
Oo AIlegjobb időbeosztásban (NetAcademia módszerrel) 

Oo AIlegszebb környezetben (Andrássy Palota) 


A NetAcademia módszer (NATE) 


Heti fél nap, nyolc héten át — feszes tempó, lélegzetvételnél nagyobb (1 hetes) szünetekkel. 


Előnyök: 
Könnyebb elsajátítani a tanulnivalót 


Egy hetes tanulási, ismétlési intervallum 


A résztvevő nem esik ki a munkából 
Vidékiek is könnyedén elvégezhetik 


Részletes tematika és jelentkezés: http://www.netacademia.net 
Kérje teljeskörű, ingyenes katalógusunkat az info(];pnetacademia.net címen! 





Tanúsítványukiadók 


a Vindomwsban 


A Windows 2000 és Windows 2003 Server 


CA szolgáltatása 


A tanúsítványkiadó szolgáltatás fontos, központi szerepet játszik a Windows 2000/2003 nyílt kulcsú 
infrastruktúrájában. Cikkünkben bemutatjuk a Certification Services szolgáltatását, majd természete- 


sen kitérünk a Windows 2003 újdonságaira is. 


A tanúsítványkiadó szolgáltatás feladata 
(PKI tanfolyam 5 percben) 


A CA (Certification Authority — , hitelesítő szervezet") feladata 
az, hogy nyílt kulcsú (PK/) tanúsítványokat adjon ki, miután el- 
lenőrizte a tanúsítványt kérő személy valódi kilétét. A CA által 
kiadott tanúsítványt a CA saját digitális aláírásával hitelesíti. A 
CA digitális aláírása persze ugyanígy egy tanúsítványon alapul; 
ezt a tanúsítványt a szervezet vagy egy másik CA-tól kapta, 
vagy önmagának adta ki. Ez utóbbi esetben a CA úgynevezett 
Root CA", mert ha a tanúsítványok digitális aláírásait követve 
felépítjük a tanúsítvány hierarchikus hitelesítési útvonalát, ez a 
kiszolgáló lesz a hitelesítési lánc végén. A tanúsítvány definí- 
ció szerint csak akkor érvényes, ha a hitelesítési lánc végén ta- 
lálható Root CA-ban a felhasználó explicit megbízik. (Erre va- 
ló a felhasználó tanúsítványtárában található Trusted Root 
CA ss logikai tárolóhely, lásd korábbi számunkat). 

Ha a CA nem , root" , hanem a hitelesítési láncban valahol , kö- 
zépen" szerepel, ,subordinate" CA-nak hívjuk. Ezen belül at- 
tól függően, hogy csak más CA-knak osztogat tanúsítványt, 
vagy végfelhasználókat is kiszolgál, ,intermediate" vagy ,issu- 
er" CA-nak nevezzük. Lényegében, legalábbis számítástechni- 
kai értelemben nincs sok különbség aközött, hogy a CA kinek 
és milyen típusú tanúsítványt osztogat. Annál inkább jogilag!... 
Miután a CA az igénylőnek kiadta a tanúsítványt, feladata még 
az is, hogy a nyilvános kulcsokat tartalmazó tanúsítványokat 
közzé tegye, terjessze. Windowsos, vállalati környezetben a 
tanúsítványok központi terjesztési pontja az Active Directory, 
máskor, tartományi környezeten kívül telepített kiszolgálók 
esetén lehet, hogy a kiadott tanúsítványok mindössze a fájl- 
rendszer egy kijelölt mappájába kerülnek bele, és a rendszer 
másra bízza azok terjesztését. 

A harmadik nagyon fontos feladat pedig a tanúsítványok életút- 
jának kezelése (szükség szerint azok megújítása), illetve vissza- 
vonása. Egy tanúsítvány visszavonására akkor kerülhet sor, ha 
kiderül, hogy valaki szert tett a tanúsítványban található publi- 
kus kulcs privát párjára, és így illegális módon használhatná 
azt, vagy például ha a privát kulcsot eredeti tulajdonosa elve- 
szítette, és emiatt a tanúsítvány amúgy is használhatatlanná 
vált. A CA-k az általuk kiadott tanúsítványokat tehát visszavon- 
hatják, és a visszavont tanúsítványok listáját mindig nyilváno- 
san elérhetővé teszik. Az, hogy egy tanúsítvány szerepel-e 
ezen a listán, a tanúsítvány elfogadása előtt az azt ellenőrző 
felhasználó (vagy szoftver) feladata (lenne). 


A Windows CA szolgáltatás telepítési módjai 


A Windows CA szolgáltatását kétféleképpen telepíthetjük: 
A Stand Alone (önálló), vagy 
HA Enterprise (vállalati) módban. 


A két üzemmód közötti legfontosabb különbségek az alábbiak: 
A Stand-Alone CA: Használatához Active Directory nem 
szükséges; a tanúsítványok ,kiadását" (a kérések elfo- 
gadását vagy elutasítását) a rendszergazda végzi; a kia- 
dott illetve visszavont tanúsítványok listája a fájlrend- 

szerbe kerül. 

A Enterprise CA: Csak Active Directory tartományi kör- 
nyezetbe telepíthető; a tanúsítványkérések kiszolgálása 
vagy elutasítása az Active Directoryban tárolt informá- 
ciók alapján automatikus; a kész és a visszavont tanúsít- 
ványok listáját a CA az Active Directoryba teszi közzé. 


A Certificate Services telepítése 


A tanúsítványkiadó szolgáltatás a többi komponenshez hason- 
lóan, a Windows Components Wizard segítségével telepíthető. 


zl 
To add or temove a component. ckek the check box A shadéd box means that only part 
"ol the component wil be inzstaled. To see what: included ín a component, click Detads. 
Mk zá I S 


al Certácate Servicez 
Windows Components 
Vau can add or remove Compone [57 [ga Ceditcate Services Web Errolment Support 








To add or temove a component, 
Part ol tha component wil be net. 

Detatt. 

Corocnents ad 


7 igácceszoser and Utüties — Descipiion — Sets up a CA that irsuez and manager digtal certiicates. 
7 €japsscaton Server 
Total dík space teguted 1248 De 
- Eleyztepaety] Space avalable on dek 573848 








B A Certificate Services telepítési opciói 


A Certificate Services opció kiválasztása után a Details... 
gombra kattintva láthatjuk, hogy a telepítés két részből áll: az 
első maga a CA szolgáltatás, a másik pedig a , Certificate Ser- 
vices Web Enrollment Support", azaz a CA webes felülete. En- 
nek telepítéséhez természetesen a számítógépen futó IIS-re van 
szükség. A webfelület egyébként a CA-tól független számító- 
gépre is telepíthető; ha pedig bármikor szeretnénk azt újratele- 
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píteni (például mert az IIS-t újra kellett telepítenünk, 
vagy bármilyen más okból a webes struktúrából el- 
tűntek a Certificate Services virtuális mappái), a 





parancs segítségével ezt később is megtehetjük. De térjünk 
vissza a telepítéshez! A telepítővarázsló első oldalán a telepí- 
tendő CA típusát kell kiválasztanunk. A CA-nk lehet: 

AA Enterprise root CA 

TA Enterprise subordinate CA 

TA Stand-alone root CA 

TA Stand-alone subordinate CA. 


Miután eldöntöttük, hogy milyen CA-t telepítünk (a továbbiak- 
ban -— hacsak külön nem említjük — Enterprise root CA-val fog- 
lalkozunk majd), válasszuk ki a , Use custom settings to gene- 
rate the key pair and CA certificate" jelölőnégyzetet (Windows 
2000-ben ezt az opciót kicsit másképp hívják, de felismerhe- 
tő). Ha megtettük, a következő oldalon a CA saját kulcspárja 
generálásának módjába és körülményeibe avatkozhatunk be. 


Windows Components Wizard HET Xxl 


Public and Private Key Pair 
Select a eryptographic service provider (CSP), hash algoríthm, and settings for the 








key pair. 
csp: Hash algoríthm: 
Microsolt Base DSS Ciyptographic Provider MD4 a 
Microsoft Enhanced Cyptographic Ptovider vI.0 —, 1MD5 
LEETZAETTTe Te rovidet 
Schiumberaer Crvotoaraphic Service Provider E] si 
IT Allow this CSP to interact with the desktop Key length: 
2048 7 


TT Use an existing key: 





E A CA kulcspárjának beállításai 


Kiválaszthatjuk például a használni kívánt titkosító modult 
(Cryptographic Service Provider, CSP), ami a Microsoft beépí- 
tett, szoftveres (Base, Strong, Enhanced) moduljai mellett bizo- 
nyos hardveres CSP-k lehetnek. Utóbbi választását jól gondol- 
juk át, mert ebben az esetben a CA-nak minden olyan művelet- 
nél, amikor a privát kulcsára szüksége van, a hardvereszközhöz 
kell nyúlnia, és ezt nem minden CSP támogatja. Hardvereszköz 
híján választhatunk a Microsoft Base, Strong és Enhanced 
Cryptographic Providerek közül. A három modul a beépített tit- 
kosító algoritmusokban és a leghosszabb kezelhető kulcsméret- 
ben különbözik egymástól, a csúcs — és persze az ajánlott vá- 
lasztás — mindenképpen a Microsoft Strong vagy az Enhanced 
CSP. Amint az ábrán is látható, a CA kulcsának alapértelmezett 
hossza a Windows 2003 Serverben már 2048 bit. 

Az oldal alján kijelölhetnénk, hogy melyik esetleg már létező 
kulcspárt és tanúsítványt szeretnénk használni ahelyett, hogy 
újat generálnánk. Erre a lehetőségre akkor lehet szükség, ha a 
tanúsítványkiszolgálót valamilyen oknál fogva újra kellene te- 
lepíteni. Ugyanitt importálhatunk is tanúsítványt. 

A következő oldalon meg kell adnunk a CA nevét (Windows 
2000-ben kicsit részletesebben, de tulajdonképpen adminiszt- 
ratív adatokról van szó), valamint a CA tanúsítványának érvé- 
nyességi idejét. 


tar iül H.€-t a Gűiddag a 


Az alapértelmezett érvényességi idő Windows 2000 esetén 2, 
Windows 2003 esetén 5 év. 





Windows Components Wizard 


CA identifying Information 
Enter information to identily this CA. 





Common name for this CA: 





iFalatrax 2003 Enterprise CA. 
Distinguished name suffix 
JDCsfalatrax2003 DC-hu 
Preview of dístinguished name 
JCNzFalatrax 2003 Enterprise Cá DCsfalatrax2003 DC-hu 
Malidíty period Expitation date: 
5 [veas 5] 2008. 03. 06. 11:56 
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E A CA tanúsítványán szereplő név és az érvényességi 
idő beállítása 


Erre figyeljünk, mert a CA mindig legfeljebb annyi ideig érvé- 
nyes tanúsítványt hajlandó kiadni, amíg a saját tanúsítványa 
még érvényes, a CA tanúsítványának lejárta pedig automatiku- 
san érvényteleníti az összes általa kiadott tanúsítványt is! (Le- 
járat előtt a CA tanúsítványát természetesen majd meg lehet 
újítani). 

A következő oldalon megadhatjuk a CA adatbázis és logja he- 
lyét (ami egyébként belső felépítésében hasonló az Active Di- 
rectory adatbázisához). Ugyanitt — megintcsak leginkább ka- 
tasztrófa utáni helyreállításkor — megadhatjuk, hogy a CA hasz- 
náljon egy már korábban meglévő adatbázist. A varázsló ez- 
után befejezi a telepítést és el is indítja a szolgáltatást (újrain- 
dításra nem lesz szükség). 


A Certificate Services logikai felépítése 


A Certificate Services blokkdiagramja a következő: 







Kiadott és visszavont 
( tanúsítványok adatbázisa 


Certificate 
Database 








Exit modul 
(elkészített 
tanúsítványok 
terjesztése) 


Certficate Services 
(tanúsítványok létrehozása, 


Entry modut 
visszavonási lista készítése) 


(beérkező 
kérések fogadása) 














E A Certificate Services blokkdiagramja 


A különböző modulok feladata (és tulajdonképpen a tanúsítvá- 
nyok kiadásának és kezelésének módja) az alábbi: 
HA Entry modul: fogadja a beérkező tanúsítványkéréseket 
(legyen az webes, vagy közvetlen eljáráshívással — RPC 
— érkezett). 
FA Tanúsítványsablonok: Enterprise CA esetén az Active 
Directoryban jópár különböző célra használható, előre 


elkészített tanúsítványsablont találunk (ezekre még 
visszatérünk). Stand-alone CA-k esetén tanúsítványsab- 
lonok nincsenek, ott a tanúsítványt kérő személy konk- 
rétan adott célra kéri a tanúsítványokat. 

HA Policy Module: A policy modul a rendelkezésre álló in- 
formációk (bejelentkezési adatok, Enterprise CA esetén 
a kért tanúsítványsablonon definiált jogosultságok, stb.) 
alapján eldönti, hogy a kért tanúsítvány kiadható-e. 

TA Certificate Services: A kérést a szolgáltatás a Policy 
Module utasításai alapján kiszolgálja vagy elutasítja. 
Szükség esetén létrehozza a tanúsítványt, tárolja azt a 
saját adatbázisában. Ugyanez a komponens generálja 
a visszavont tanúsítványok listáját is. 

TA CryptoAPI, CSP-k, Protected Store: a tanúsítványok 
létrehozásához szükséges konkrét kriptográfiai művele- 
teket (pl. a digitális aláírást, de szükség esetén akár 
kulcsgenerálást is), a CryptoAPI, azon belül is a kivá- 
lasztott CSP modul végzi. A CA privát kulcsa védett he- 
lyen, a Protected Store-ban található. 

TA Exit Module: feladata az elkészült tanúsítványok köz- 
zététele (miután a tulajdonosa már megkapta azt). En- 
terprise CA esetén a kész tanúsítványt az Active Direc- 
toryba küldi (hozzárendeli a tanúsítványt kérő felhasz- 
nálóhoz), Stand-alone esetén pedig szükség esetén fájl- 
ba menti az. 





Bár a ,gyári" Windowsban csak egy-egy policy és exit modul 
található, ilyeneket saját célra is fejleszthetünk. A Policy modul 
ugyanis lecserélhető, az Exit modulok közé pedig saját modu- 
lokat vehetünk fel — mondjuk olyat, ami a kész tanúsítványt 
még e-mailben is elküldi a kért címre. 


A Certificate Services kezelői felülete 


A Certificate Services kezelőfelületét (MMC konzolját) az Ad- 
ministrative Tools 2 Certification Authority paranccsal nyithat- 
juk meg. 





A [EZ Falatrax 2003 Enterprise CA 


8 (ÉJFalatrax 2003 Enterprise CA 
CI Revoked Certfficates 


CI Issued Certificates d 

a Bell Kéettt A Certification 

CJ Certificate Templates Authority 
MMC modul 


A felügyeleti eszköz Windows 2000-ben és a Windows 2003- 
ban is nagyon hasonlóan néz ki. Röviden összefoglalva a kon- 
zolfa elemeit: 

H cCA név3: a Certificate Services biztonsági mentése, 
visszaállítása, a főbb beállítások. 

Revoked Certificates: a visszavont tanúsítványok listája. 

Issued Certificates: a kiadott tanúsítványok listája. 

Pending Reguests: a folyamatban lévő tanúsítványkéré- 

sek (Enterprise esetén szinte mindig üres, Stand-alone 

módban itt kell a tanúsítványokra kattintva választa- 
nunk az ,lssue" [kiadható] vagy a , Deny" lelutasítan- 
dó] lehetőségek közül). 

TA Failed Reguests: az elutasított tanúsítványkérések listá- 
ja (Stand-alone módban a rendszergazda, Enterprise 
módban pedig maga a policy modul tehet ilyet!). 

TA Certificate Templates (Windows 2000-ben: Policy Set- 
tings): a CA által kiadható tanúsítványtípusok listája. 
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A CA szolgáltatás beállításai — a Policy modul 


A Policy modul beállításait a CA tulajdonságai között 
találjuk: 





g3 Zizi 
Storage 1 Auditíng l Security 1 
General PoícyModule — ]  ExtModule  ] — Estensions ] 
Desciiption of active poliey module —————————————] 
Name "Windows default ] 
Desciptiorr Specifies how to handle certificate reguests for) 
Enterprise and Stand-alone CAs ! 
Versiore 5.2.37630 
Copyright: 6 Microsolt Corporation. AI rights reserved. 
Properties... Select... 
ETETZTEKEEETEKETEETETTZTTTT 7 2 
Reguest Handíng ] 


"The Windows default policy module controls hove this CA should handle 
"certificate reguests by default. 


Dothe following when a certificate reguest is received: 

C Setthe certificate reguest status to pending. The administrator must 
issue the certificate. 

G Eollowthe setting: in the certificate template, íf applicable. 

therwise. automaticaly issue the certificate. 


E A Policy modul beállításai 


A Select... gomb hatására választhatunk a rendszerben találha- 
tó Policy modulok közül (ha van telepítve más is, mint a ,gyá- 
ri"). A Properties... gomb pedig a modul beállításait mutatja: itt 
választhatunk, hogy a tanúsítványt a rendszer a tanúsítvány- 
sablonok alapján mindig adja ki (ez az alapértelmezés), vagy a 
sablonoktól függetlenül bízza ezt a rendszergazdára (Windows 
2003-ban Enterprise CA esetén is; ez az opció Windows 2000- 
en Enterprise CA esetén szürke). 


A CA szolgáltatás beállításai — az Exit modul 


Az Exit modul feladata a tanúsítványok közzététele, és mint azt 
már említettem is, Exit modulból egynél több is lehet a rend- 
szerben. A beépített Exit modul beállításai között a tanúsítvá- 
nyok Active Directoryba illetve a fájlrendszerbe történő közzé- 
tételét engedélyezhetjük, illetve tilthatjuk le. Az Active Direc- 
toryba való közzététel az Enterprise CA-k esetén alapértelme- 
zés, Windows 2003-ban ki sem kapcsolható. A fájlba való köz- 
zététel pedig a Stand-alone CA-k alapbeállítása, de persze En- 
terprise CA-k esetén is bekapcsolható. 

A fájlba mentett tanúsítványok helye a 


$windir$Vsystem32icertsrviCertEnroll 


könyvtár. Ebben a könyvtárban alapértelmezésben a CA saját ta- 
núsítványa és a visszavont tanúsítványok listája található (Ez a 
mappa egyébként a http://. . /certsrv/CentEnroll/ címen is elérhe- 
tő, ha engedélyeztük-telepítettük a Web Enrollment supportot): 





CICIT 





certsrviCertEnroll 






































Certficate Revocation List 2003. 03. 06. 1204 
E Falatrax 2003 Enterprise CAt.erl 1KB Certficate Revocation list 2003. 03. 06. 12:04 





2003. 03. 06. 12:03 
2003. 03. 06. 1203 


nsrev. Falatrax 2003 Enterprise CA.asp. 1KB ASPFIe 
(E wz00Gsrv.falatrax2003.hu Falatrax 2003 Enterprise CA.crt 2KB Security Certficate 


E A CA tanúsítványa és a CRL-ek a fájlrendszerben 


A felhasználói tanúsítványok is ide kerülnek (ha engedélyez- 
tük), de nem automatikusan: a tanúsítványkérésnek tartalmaz- 
nia kell tanúsítvány fájlnevét, certfile:filenév.cer formában. Ezt 
vagy a PKCSH10 fájl generálásakor kell megadnunk a megfele- 


Én 
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- A Uindows 2000 és Windows 2003 Server CA szolgáltatása / Biz 


Tanúsítványkiadók a Nindowsban 


lő helyen, vagy — kicsit előreszaladva — a webes tanúsítványké- 
rés legvégén, mint speciális opciót: 


Za Microsoft Certificate Services - Microsoft Internet Explorer 

















Additional Options: 
Regvest Format: € CMC — € PKCS1O 


Hash Algorithmi [SHA-t 7 


Only used to sign regvest, 
TT Save reguest to a file 





jeerezíle:teszt.cer z 


Attributes: z 


Friendly Name: 





mM TT eg locáttrtranet 


mile 


JEGES SETS ZzsztE 





E A tanúsítvány szerveren történő fájlba mentéséhez az 
Attributes mezőt kell kitöltenünk 


Figyelem, a , Save reguest to a file" nem erre vonatkozik! 

A certfile: opció hatására az Exit modul elmenti a kész tanúsít- 
ványt. Itt van egy kis különbség a Windows 2000 és Windows 
2003 CA között: míg a Windows 2000 a kért fájlnéven tárolja 
azt, a Windows 2003 a kérés belső sorszámából generálja a 
fájlnevet: 


Ge CAAWINDOWSIsystemsztcertsrvicertenroll 


















kH Falatrax 2003 Enterprise CA.ert Certficate Revocation Lt 2003. 03. 06. 12:04 
ÉJ Falatrax 2003 Enterprise CA vert 1KB Certficate Revocation list 2003. 03. 06. 12:04 
(E nsrev. Falatrax 2003 Enterprise CA.asp 1KB ASPFie 

(E w2003srv.falatrax2003.hu, Falatrax 2003 Enterprise CA.cit 2KB Security Certficate 
Es-cer 2KB Security Certficate 


B A fájlba mentett tanúsítvány Windows 2003-ban 


A visszavont tanúsítványok listájának és a CA saját tanúsít- 
ványának elérési útja 


A tanúsítványkiszolgáló tulajdonságlapjának következő oldala 
az , Extensions". Az itt következő beállításokat Windows 2000- 
ben a Policy modul beállításai között találjuk meg. 

A dialógusablakban a visszavont tanúsítványok listájának 
(CRL), valamint a CA saját tanúsítványának (Authority Informa- 
tion Access, AIA) címtárbeli (Idap:/0, webes (http:/) és akár 
fájlrendszerbeli (file:// elérési útját állíthatjuk be. 





Falatrax 2003 Enterprise CA Properties 2lxi 
Storage ] Audíting ] Security I 
General] PoligyModule ] Ex Module Extensions 
Select extension: 
CRL Distibution Point (CDP) 2 
HAN A ÖEZSESA ENNE KE Zz LA KEKE ette rcsásltt 







http://cServerONS Names /CettE nrolyc CaNames  CRLNameSuffno Delta 
file. ZAVcServerONSName) MCettEnroltc CaNamex c CRLNameSuffpo cDelt 


a] 
Add. Remove 
7. Pubísh CRL: to this location 
[7 inglude in all CRL:. Specifies where to pubfsh in the Active Directoty 
when pubkshing manually. 


7 Inciude in CRL. Clents use this to find Delta CAL locations. 
[7 Inciude in the CDP extension of issued certificates 
(7. Pubiish Deta CRL: to this location 





ok Jena] 2 


B A CRL és az AIA elérési útjai 





Ahol bekattintjuk a ,Publish CRLs to this location" opciót, oda 
a rendszer mindig ,menti" az elkészült visszavonási listákat; 
ahol pedig az , Include in the CDP extension of issued certifi- 
cates" mező is be van jelölve, a cím bekerül a kiadott tanúsít- 
ványokba is (ez persze ajánlott, különben a felhasználók nem 
tudnák, hogy hol keressék a CRL-t illetve az AIA-t). Windows 
2000-ben ezt az adott cím előtti pipa bejelölésével tehetjük 
meg. 


ala 


General  Detals ] certficaton Path 









Show: [can s 











vk les. setÉrT eEA ag ÉS es BE [d 
Fikey usage Digital Signature, Key Encipher. 


ASMIME Capabiíties CLJSMIME Capabilty: Object I... 
Egsubject Key Identíter 6b28c2Scbd 65 safe 73b4 ... 
Egcertificate Template Name Administrator 

[Tdauthoríty Key Identfier KeyID06 Of dc 17 90.85 64 2... 
3]CRL Distribution Points C13CRL Distribution Point: Distr. .. 


Edauthority Information Access [1Jauthority Info Access: Acc... 
Edénhanced Key Usage Microsoft Trust List Signing (1... e] 


L Ostributon 
Distribution Point Names 
Ful Name: 







Name: 
URLEidap:[//CNsFalatraxy5ZOZO0ZY-ZOENterpriset 
[/OCAUTOR]ON3srv,CNECDP,CNzPublcZOKey "b 
jzoServices CNzServices CN Configuration DCsfalatrax2003 DCshu? 

-ertific ?basezobjectClasszeRLDistributionPoint 


[see] 


E A CRL elérési útja egy kiadott tanúsítványban 


Ha egy valós CA által kiadott valós tanúsítvány CRL Distribu- 
tion Points mezőjéből kimásoljuk a http:// címet, azt egy bön- 
gészővel megnyitva — ha minden jól megy — visszakapjuk a ta- 
núsítványt kiadó CA érvényes CRL-jét. 


Biztonság és naplózás 

Az ,Auditing" oldal új a Windows 2003 Server Certificate Ser- 
vices tulajdonságlapján. Itt igényeink szerint bekapcsolhatjuk a 
CA-val végzett komolyabb műveletek naplózását. A bejegyzé- 
sek a biztonsági eseménynaplóba kerülnek, de ehhez először 
a Group Policy-ban globálisan is engedélyeznünk kell az , Au- 
dit object access" naplózási házirendet. A , Security" oldalon 
pedig a tanúsítványkiadó szervezet szolgáltatásaihoz való hoz- 
záférési jogokat adhatjuk meg: j 





Falatrax 2003 Enterprise CA Properties 13 


General] PoloyModule ]  ExítModue ] — Estensions 
Storage ] Audíing Security 
Group or user names: 
 Administtators (FALAT RAXZOOSVAdminéstrators) 
(Ü Authenticated Users 
1 Domain Admins (FALATRAXZOOZND omain Adrins) 
2 Enterprise Adrmins (FALATRAXZOOZNEnterprise Adrmins) 








[Das] Bemove 
Permissions for Authenticated Users. Alom — Deny 
Read a 
Issue and Manage Certificates a 
Manage CA a 
Reguest Certificates mu 








5 Egy Windows 2003 Enterprise CA alapértelmezett biz- 
tonsági beállításai 





A jogosultságok magukért beszélnek: 
TA Issue and Manage Certificates: tanúsítványok kiadásá- 
nak és kezelésének joga. 
H Manage CA: a tanúsítványkiadó szervezet beállításai- 
nak módosításához szükséges jog. 
TA Reguest Certificates: tanúsítványkérési jogosultság. 


Windows 2000-ben a jogosultságok kicsit mások, ott csak álta- 
lában ,Manage" és ,Enroll" jog létezik (utóbbi szükséges a ta- 
núsítványkéréshez). Természetesen a , Reguest Certificates" jog 
megléte még nem garancia arra, hogy a felhasználó a tanúsít- 
ványt meg is kapja; ehhez előtte még a Policy modulnak is le- 
het egy-két szava. 


A visszavont tanúsítványok listájának (CRL) közzététele 


A CRL-ek kezelésének beállításait a ,Revoked Certificates Pro- 
perties" dialógusablakban találjuk, amit a konzolfában a ,Re- 
voked Certificates" sorra jobb gombbal kattintva, majd a ,Pro- 
perties" sort választva csalogathatunk elő. Windows 2000-ben 
itt beállíthatjuk a CRL-ek frissítésének időszakát (CRL Publica- 
tion Interval; ez alapértelmezésben hetente történik), illetve 
megtekinthetjük az éppen érvényes visszavonási listát. 

A Windows 2003 a ,hagyományos" CRL-ek mellett ún. kü- 
lönbségi, azaz Delta CRL-t is kezel. A Delta CRL kisebb és 
gyakrabban (alapértelmezésben naponta) készül, mint a 
nagy" CRL, és csak az utolsó teljes CRL kiadása óta történt 
változásokat tartalmazza. Ha van Delta CRL, akkor a ,nagy" 
CRL-ben a , Freshest CRL" mezőben a CA feltünteti a Delta 
CRL elérési útját. Ha a felhasználó rendszere kezeli a Delta 
CRL-eket, erről a címről letöltheti azt; ha pedig nem, akkor 
egyszerűen figyelmen kívül hagyja és a teljes CRL-t használja 
majd. 

Windows 2003-ban tehát a tulajdonságlapon a CRL mellett a 
Delta CRL frissítési időszakát is beállíthatjuk, valamint megte- 
kinthetjük. 


Revoked Certificates Properties E 312 


CRL Publishing Parameters ] View CRL: ] 
AA Cetieste evocalion List (CRLJ descíbes certfcates that cbente shouid 


consider invi 
CRL publication intervab Mi IWeeks 7] 
Next update: 2003. 03. 13. 1204 
[7 Publish Delta CALS 
Pubkcalonintamet 7 DI] 
Next update: 2003. 03. 07. 1204 





id A tanúsítványvisszavonási listák beállításai Windows 
2003-ban 


Egy kiadott tanúsítványt egyébként úgy tudunk visszavonni, 
hogy az ,lssued Certificates" listában az adott tanúsítványra 
bökünk és az AII Tasks 2 Revoke Certificate parancsot választ- 
juk. 





A kiadható tanúsítványsablonok listája 


A CA konzolfa utolsó eleme (persze csak az Enterprise 
CA-kban) a ,Certificate Templates" elem (Windows 
2000-en ez a , Policy Settings" nevet viseli). 




















File Recovery 
Enerypting Fe System 

Cent Authentication, Server Authentication 
Server Authentication 

Cent Authentication, Server Authentication 
Enerypting File System, Secure Email, Cken... 
a SAD 

Microsoft Trust List Signing, Enerypting File... 


E A kiadható tanúsítványok listája 


A listában azokat a tanúsítványsablonokat találjuk, amelyeket 
az adott Certificate Service kérésre kiszolgálhat. Ilyen előre el- 
készített tanúsítványsablon azonban a listában láthatónál sok- 
kal több van definiálva az Active Directoryban. Ha új kiadha- 
tó tanúsítványtípust szeretnénk felvenni, kattintsunk jobb 
gombbal a Certificate Templates sorra, majd válasszuk a New 
72 Certificate (Template) to Issue parancsot. 








2121 
EE 
(ggErrolment Agent (Computer) Certificate Reguest Agent 
(Exchange Enrolment Agent (Olfine regvest) Certiicate Reguest Agent 
(d Exchange Signature Only Secure Emal 
dExchange User Secure Emad 
Edipsec 1P secuaty IKE intermediste 
GdiPsec (Otline reguest) 1P securly IKE intermediate Í 
TEA Rostos IE ravsot tant ördhantoatan ad 
med] 





E A wkiadható tanúsítványsablonok kiválasztása 


Az erre megjelenő ablak tartalmazza az összes definált (és a 
CA listájában még nem szereplő) tanúsítványsablont, amelyek 
közül kattintással választhatunk. 

Ha a Certificate Authority MMC konzolban kettőt kattintunk 
valamelyik tanúsítványsablonra, megjelenik az adott tanúsít- 
vány főbb beállításait tartalmazó ablak: 


User Properties 


General ) 





212 










Enciypting Fde System 
Secure Emal 
Ctent Authentcation 







Other Information 


Indude emad address Yes 
Public Key Usagelist Digital Signature 

Key Encipherment 
Pubkc Key Usage Ciitcal No 







E A tanúsítványsablon jellemzői 





Er 
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- AR Uindows 2000 és Windows 2003 Server CR szolgáltatásai Dizionság 


Tanúsítványkiadók a Windowsban 


38 


Ebben az ablakban látható, hogy az adott sablon 
alapján kiállított tanúsítvány milyen célokra használ- 
ható (az ábrából kiderül, hogy a , User" típusú tanú- 
sítványok például titkosított fájlrendszer, titkosított le- 
velezés és felhasználóazonosítási célra), valamint né- 
hány más információ is (például, hogy a tanúsítvány tartalmaz- 
Za a felhasználó e-mail címét). Ezek a beállítások mind-mind 
az Active Directoryba ,beégetett" tanúsítványsablon-objektu- 
mokból származnak. Ugyanitt definiálható az is, hogy egy-egy 
tanúsítványsablon által ki jogosult tanúsítvány kérésére — lás- 
suk, hogyan férhetünk hozzá az Active Directory-beli tanúsít- 
ványsablon-listához! 


Tanúsítványsablonok az Active Directoryban 


Ezen a ponton a Windows 2000 kicsit nehézkes volt, amin a 
Windows 2003-ban már segítettek a fejlesztők. Mivel a tanúsít- 
ványsablonok az Active Directory ún. rendszerbeállításokat 
tartalmazó partíciójában találhatók, Windows 2000 alatt azok- 
hoz úgy férhetünk hozzá, ha elindítjuk az Active Directory 
Sites and Services eszközt, majd ott kiválasztjuk a View 2 
Show Services node opciót. Ekkor a Services 2 Public Key 
Services 2 Certificate Templates sorban megtaláljuk a tanúsít- 
ványobjektumokat. Maguk az objektumok egyébként persze a 
Windows 2003 Active Directoryban is ugyanitt találhatók, csak 
kezelésükhöz készült egy különálló eszköz (MMC modul: Cer- 
tificate Templates). Ezt a modult a Certificate Authority konzol- 
ból egy lépésben is elindíthatjuk, ha az előbb tárgyalt Certifi- 
cate Templates soron a ,Manage" parancsot választjuk. 

Windows 2000-ben, illetve Windows 2003-ban a Windows 
2000-kompatibilis (szürke) sablonokra kettőt kattintva a sablo- 
nok beégetett, módosíthatatlan tulajdonságait láthatjuk. 


ajaj 
281 






3 Tanúsítványsablon-kezelés Windows 2000-ben (hátul), 
és a Windows 2003-ban (elöl) 


Az egyetlen , dinamikus", általunk is módosítható oldal a Secu- 
rity, ez határozza meg, hogy az adott tanúsítványsablon alap- 
ján ki kérhet tanúsítványt: 





eaz] 


General] Reguest Handing [ Subject Name [/Extensions . Security 


212d 





a Domain Admins (FALATRAXZOOZWDOomain Admins) 
É? Domain Computers (FALATRAXZOOZND omain Computer) 
ÉT Erterpise Admins (FALATRAXZOOZVEnterprise Admin:) 


(őisskől 


Permissions for Domain Computers Allow Deny 





For special permissions or for advanced settings, 
For ageciol pormáesione or for settings, Kájetödd, 





E A tanúsítványsablon jogosultságlapja 


Az adott típusú tanúsítvány kéréséhez legalább Read és Enroll 
jogra van szükség. Az ábrán látható Computer tanúsítványt 
például a Domain Computers csoport tagjai (azaz a tartományi 
számítógépek) kérhetik (ők Read jogot az Authenticated Users 
csoporton keresztül kapnak). 


A Windows 2003 Server Enterprise Edition Certificate 
Services újdonságai 

Az eddigiekhez képest sokkal több újdonságot tartalmaz a 
Windows 2003 Server Enterprise Edition tanúsítványkiszolgá- 
lója (szerkeszthető tanúsítványok, automatikus tanúsítványké- 
rés felhasználók részére is, kulcsarchiválás, stb.). Ezekre a kö- 
vetkező számban térünk vissza. 


Folytatjuk ... 


Fülöp Miklós 
mickenetacademia.net 


Kapcsolódó NetAcademia tanfolyamok: 
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Portál Paraldigmal II 
Második rész, avagy mi az a cache? 


A tartalommenedzsment vagy CMS rendszereknél még vitatkozhatunk, de az igazi alkalmazásintegrá- 
ciót megvalósító, főleg intranet portáloknál leszögezhetjük, hogy a statikus HTML oldalak előre lege- 
nerálása nem lehetséges. Az egyetlen út a teljesen dinamikus markup előállítás. Erről, és ennek opti- 


malizálásáról szól a portál cikksorozat második része. 


Az egyszerű információs weboldalakkal ellentétben egy igazi 
portál interaktív felhasználói élményt nyújt, azaz a megjelenő 
markup erősen függ a felhasználó tevékenységétől, a megjele- 
nő információ rendszerint személyre és az adott pillanatra sza- 
bott. Nem tudhatjuk, hogy a felhasználó mit fog beírni a kere- 
sőbe, vagy melyik ügyfél adatait kéri le a CRM-ből. Nincs mit 
tenni, a portáloldalt a lekérés pillanatában kell előállítani. 

A dinamikus oldalak előállítása több processzoridőt vesz 
igénybe, egyes adatok fájlokból, adatbázisokból vagy egyéb vi- 
szonylag lassú rendszerekből kerülnek kinyerésre. Ha ezt meg- 
tetézzük rengeteg felhasználóval, akiknek nincs jobb dolguk, 
mint a mi portálunkat terhelni, a portál reakcióideje megnőhet, 
illetve kevesebb felhasználót képes kiszolgálni. A válaszadás 
ideje nem lehet nagy, mert az rontaná a felhasználói élményt, 
bár azt is hozzá kell tenni, hogy még mindig jobb egy viszony- 
lag lomha kereső, ami mondjuk két percig keres végig ezer do- 
kumentumot, vagy tízezer ügyfelet, mint ha azt mi magunk 
tennénk jó néhány órán vagy napon át. A teljesítmény fogalma 
tehát igen relatív. 

Mindazonáltal, ha már portált építünk, az legyen fürge, de ne 
tévesszük össze a teljesítményt a skálázhatósággal. Több pro- 
cesszor vagy szerver hozzáadásával nő a kiszolgálható felhasz- 
nálók száma, de a teljesítmény nem. Egy ideig gyorsabbnak 
érezzük a rendszert, de csak akkor, ha a lassúság oka a sok fel- 
használó által okozott túlterheltség volt. A portálok teljesítmé- 
nyének finomhangolása sok gyakorlatot és türelmet igényel, a 
legjobb eredményt pilotokkal és mérésekkel lehet elérni, illet- 
ve nem árt jól kitesztelt portálmotorra építkezni. 


Átmeneti tár 


Ha a portálunkra érkező kérések nagy része ugyanazt az ered- 
ményt állítja elő, akkor ugyanannak a markupnak az újból és 
újból történő előállítása csak fölöslegesen terheli a szervert. 
Bevett szokás, hogy a fáradságos CPU idővel generált HTML 
oldalakat az előállítás után a memóriában lévő átmeneti tárba 
teszik, majd ha újból olyan kérés érkezik, amire a válasz meg- 
egyezik valamely átmenti tárban tárolt válasszal, újragenerálás 
helyett az átmeneti tárból szolgálják ki a kérést. Az átmeneti tár 
közismertebb angol neve a cache, ami nem tévesztendő össze 
a cash, azaz készpénz szóval, bár ha úgy vesszük némi közük 
van egymáshoz, hisz az elsővel megtakaríthatunk a második- 
ból, és a kiejtésük is teljesen megegyezik. 

Ez szépen is hangzik, csak éppen azt nem könnyű eldönteni 
egy kérésről a válasz előállítása nélkül, hogy a válasz vajon 
ugyanaz lesz-e, mint az előbb volt. A dinamikusan előállított 
oldalak tartalma ugyanis időben változik, például egy híroldal 
idővel frissebb híreket is meg kell jelenítsen, mint ami az átme- 
neti tárban van. Erre az lehet a megoldás, hogy az átmeneti tá- 


rat időnként töröljük, és a következő kérésnél a kimenetet újra 
előállítjuk és újabb időre az átmeneti tárba tesszük. Ezt az időt 
érvényességi vagy lejárati időnek, (angolul expiry time) szokás 
hívni. A másik megoldás, hogy a cache törlését valamitől — pél- 
dául egy új hír megjelenésétől — függővé tesszük. 
Szintén probléma, hogy a portáloldalak egy-egy darabját szin- 
te mindig egyedileg kell előállítani, így az egész oldal nem te- 
hető az átmeneti tárba. Az alábbi ábra egy tipikus intranet vagy 
bármely más portál sematikus képét mutatja, például: 

(1) Fejléc; 

(2) Menü, navigáció; 

(3) Friss hírek, letölthető dokumentumok; 

(4) Kereső; 

(5) Akár egy CRM vagy ERP felhasználói felülete is lehet a 

portálba ágyazva. 


in 
jen 





E Dobozkák - a portál felhasználói interfésze 


A legtöbb portál, de főleg az intranet és extranet portálok iga- 
zából felhasználói alkalmazások prezentációs rétegei, felhasz- 
nálói felületei. Egy alkalmazás felhasználói felülete azonban 
állandóan változik, reagálva a felhasználó által bevitt adatok- 
ra. A portál annyiban komplikáltabb, hogy itt nem egy, hanem 
több kicsi alkalmazás kisebb-nagyobb felhasználói felülete je- 
lenik meg dobozkák formájában egy-HTML oldalra bepakolva. 
Ezeket a különböző gyártók a webpart, portlet, gadget, place- 
holder és egyéb nevekkel illetik. 

Minden dobozka más és más forrásból származó tartalmat 
vagy felhasználói felületet jelenít meg. Ha az egész oldalt, 
minden dobozkát állandóan frissítenénk, nemcsak a portált, de 
a mögötte rejlő alkalmazásokat is könnyen leterhelnénk. Az 
egész oldalt nem tehetjük egyben az átmeneti tárba, mert szin- 
te minden dobozkának más és más az élettartama. A híreket 
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elég tíz percenként frissíteni, a navigációt akár órákig 
is lehet tárolni, hisz olyan ritkán változik; a kereső 


ar! vagy a mindig változó fórum viszont egyáltalán nem, 
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vagy csak másodpercekre cache-elhető. 

A fórumban lévő témák listája elsőre úgy tűnik, 
cache-elhető, de ha vannak például zárt fórumok, azaz fel- 
használónként dől el, hogy a jogosultságok alapján mely fóru- 
mok jelennek meg a listában, azt sajnos egyedileg, felhaszná- 
lónként kell előállítani — nem lehet átmeneti tárolást alkalmaz- 
ni, legfeljebb mélyen a fórum kódjában. Az átmeneti tárolás 
ugyanis nem csak generált HTML-re alkalmazható, tárolhatunk 
XML-eket, ADO Resultsetet vagy bármi más objektumot a me- 
móriában, így csökkenthetjük a terhelést az adatbázisokon 
vagy más külső adatforrásokon, már csak azért is, mert a web- 
szervereket sokkal könnyebb és költségkímélőbb skálázni. 
Fontos megemlíteni, hogy egy olyan portálon, ahol például a 
híroldalra másodpercenként száz lekérdezés érkezik, ott az 
egyperces átmeneti tárolás is hatezer (!) lekérdezéstől mentesít- 
heti a híreket tároló adatbázist. 

Az átmeneti tárolás alaplogikája igen egyszerű, de van egy-két 
hátránya is, többek között sok memóriát igényel és igen nehéz 
kitesztelni. Ha sok mindent helyezünk az átmeneti tárba, 
könnyen betelik a fizikai memória, és ettől a portálunk nem- 
hogy gyorsabb, de lassabb és instabil is lesz. Tovább nehezíti a 
dolgunkat, hogy terheléselosztás, azaz NLBS esetén a webszer- 
nül lesz átmeneti tár. 

Mielőtt azonban mélyebben belemennénk az átmeneti tárolás 
rejtelmeibe, nézzük meg, milyen eszközök állnak a rendelke- 
zésünkre ASP.NET esetén, és mit nyújtanak a portálmotorok. 


ASP.NET 


Az ASP programozóknak nem sok eszköz állt rendelkezésükre 
átmeneti tár megvalósításához. A session vagy application ob- 
jektumokat ugyan lehetett cache-nek használni, de ehhez 
programozásra volt szükség, márpedig a cache beállítása álta- 
lában az üzemi környezetben szerzett tapasztalatok alapján, a 
programozás végén, vagy akár utána, az üzemeltetés részeként 
következik. 

Az ASP.NET fejlesztők szerencsésebb helyzetben vannak, az új 
eszköz ugyanis támogatja a HTML vagy egyéb markup egysze- 
rű deklaratív átmeneti tárolását, illetve rendelkezésükre áll egy 
Cache API is, amivel saját cache logikát valósíthatnak meg bo- 
nyolultabb feladatokhoz. 


ASP.NET deklaratív cache 
A legegyszerűbb eset, ha az egész ASPX oldal kimenetét sze- 
retnénk egy időre átmenti tárba helyezni. 


c$8 Page Language-"vb"$5 
c$8 OutputCache Duration-"10" VaryByParam-"None"$5 


A fenti sort az ASPX oldal tetejére biggyesztve a szerver az ol- 
dal első futása után tíz másodpercig minden kérést az átmenti 
tárból szolgál ki, és csak a tíz másodperc leteltével futtatja le 
újra az oldalt. Ezt legegyszerűbben úgy próbálhatjuk ki, hogy 
kiíratjuk az aktuális időt. Tegyük a következő scriptet egy ASPX 
oldal fejlécébe 
chtmlz 
cheads 
cscript runat-"server"5 

Sub Page Load() 

time.Text - Now() 
End Sub 


€/script: 
c/heads 
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majd adjuk hozzá a következő vezérlőt a HTML-hez, ebbe fog- 
ja a script kiírni a pontos időt. 

i, dcasp:Label id-"time" runat-"server"/5 
c/bodyz ö Ez 
c/htmlz 


Ez a bonyolult , alkalmazás" így néz ki a böngészőben: 






A http://localhost/a.aspx - Microsoft Internet E: 
File Edit View  Favorites  Iools Help 


DO szk ig ae kg) A 0 2 Search 


Address 2 http:/flocalhostja.aspx 


3.6.2003 16:03:39 
E Cache-elt oldal a böngészőben 


Ha az oldalt frissítgetjük, látható, hogy csak minden tizedik 
másodpercben frissül a pontos idő. Sajnos ez a megoldás egy 
portálnál nemigen használható, de szerencsére tud az ASP.NET 
ennél többet is. Az OutputCache direktívának a következő pa- 
raméterei vannak: 





Attribútum Magyarázat 


Duration Az átmeneti tárolás ideje másodpercben, 
megadása kötelező 


Web Form-ok esetében beállítható az át- 
meneti tárolás helye, ami lehet a server, 
vagy akár a kliens is 


Location 


Ha több User Controlt használunk az ol- 
dalon, megszabhatjuk, hogy a tartalmuk 
különböző ideig tárolódjon 


VaryByControl 


VaryByCustom . : A Global.asax egyik metódusának fölül- 
írásával saját logikát adhatunk a cache 
kezelésére 

VaryByHeader . : A cache alkalmazását függővé tehetjük a 
http-kérés fejlécének tartalmától is 
VaryByParam A cache alkalmazását függővé tehetjük a 
kérésben érkező GET és POST paraméte- 
rektől is 


A VaryBy kezdetű paraméterek a legérdekesebbek, hisz ezek 
mögött a gyakorlatban is jól használható funkcionalitás rejtő- 
zik. Ez a paraméter lehetővé teszi, hogy olyan oldalakat is 
programozás nélkül cache-eljünk, amelyek guerystring para- 
méterek, form mezők értéke, http-fejléc értékek vagy böngé- 
szőfajták alapján dinamikusan generálódnak. 


Az alábbi példa egy online katalógusoldal, amely a TermekLis- 
ta nevű táblázatba tölti a Kategoria paraméterben érkező kate- 


Ha ennek az oldalnak az elejére a következő direktívát 
tesszük, 





lekérésre az oldal a könyvek listáját adja. Mivel az ASP.NET- 
nek megmondtuk, hogy az oldalt cache-elni kell, így a HTML 
bekerül az átmeneti tárba. Azonban megadtuk, hogy vegye fi- 
gyelembe a Kategoria nevű paramétert, a 





lekérdezésre nem a cache-ből fogja venni a HTML-t, hanem is- 
mét lefuttatja az aspx-et. Ha ezek után az előző lekérések bár- 
melyikét kapja a szerver, a választ tíz percig a cache-ből fogja 
venni. Tehát a szerver a VaryByParam értékének megadott pa- 
raméter minden értékére külön cache-el. Ha a következő pél- 
dához hasonlóan több paramétert adunk meg, 





annak minden kombinációjára külön cache-el, feltéve, hogy 
minden paraméter nevét megadtuk a direktívának. 





Ezzel a megoldással azonban vigyázni kell, mert a kombináci- 
ók száma rohamosan (exponenciálisan) nő, és ez rengeteg me- 
móriát felemészthet. 


A Windows Server 2003-ban (korábbi nevén Windows .NET 
Server) található Internet Information Services 6 használata 
esetén a Location paraméter Server értékre állítása azt eredmé- 
nyezi, hogy a lekérés el sem jut az aspx alkalmazáshoz, a 
http.sys közvetlenül az átmeneti tárból szolgálja ki a lekérése- 
ket. 





A cache kezelését nemcsak direktívákkal, hanem kódból is 
szabályozhatjuk a Response objektum metódusaival, a szinta- 
xis más, a hatás ugyanaz. 





A leghasznosabb azonban, hogy ha User Controlokat alkalma- 
zunk, azokat külön-külön is cache-elhetjük. Az oldalunkat te- 
hát vezérlőkből építjük fel, és minden vezérlőnek külön állít- 
juk be, hogy kerüljön-e átmeneti tárolásra, vagy ne. A módszer 
szinte azonos az előbbi, oldalakra vonatkozó megoldással, itt 
is az OutputCache direktívát kell alkalmazni, íme: 


ASP.NET cache API 





Az előbbi megoldások egyszerűek, de igazán bonyo- 
lult oldalakat, mint például egy komoly portált, már 
nehézkesen lehet ezekre építeni. Komolyabb felada- 
tokra azonban itt a Cache osztály, amely HTML vagy 


egyéb markupon kívül akár objektumokat is képes tárolni. Az 
alábbi egyszerű példa egy XML stringet próbál meg kiolvasni a 
cache-ből. Ha sikerül, kiírja, ha nem, újra előállítja a GetXxMLO 
függvénnyel, majd az eredményt beteszi az átmeneti tárba, és 
ezután ki is írja. A példa nem állít be érvényességi időt a 
cache-nek, ez a legegyszerűbb alkalmazás. 





Az átmenti tár törlése nem csak időhöz köthető, bár ez a 
leggyakoribb. Az ASP.NET Cache osztálya támogatja a cache- 
ben tárolt objektumok függőségének kezelését. Egy objektum 
függhet egy fájltól, egy másik cache-elt objektumtól és az idő- 
től. A következő példa a fájltól való függést mutatja be. A 
cache-ben tárolt XML katalógus akkor törlődik, ha az XML fájl 
a fájlrendszerben megváltozik. Deklarálunk egy XML doku- 
mentumot 
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... és betöltjük az XML-t: 


Most feltételezve, hogy az XML az ASPX fájlunkkal egy könyv- 
tárban van, beállítjuk a függőséget a fájlra: 


Mint látható, létrehoztunk egy példányt a CacheDependency 
osztályból, majd ezt adtuk át a Cache objektum Insert metódu- 
sának, létrehozva a függőséget. 


Az időtől való függőségnek két altípusa van, az abszolút (abso- 
lute) és a csúszó (sliding). Az abszolút egy megadott idő után 
törli a cache-t akár van kérés, akár nincs. A csúszó ezzel ellen- 
tétben minden az időn belül érkező kéréskor újraindítja az idő 
mérését. Az előző példát módosítva létrehozunk egy tíz má- 
sodperces csúszó időintervallumot, majd a Cache objektum In- 
sert metódusánál ezt adjuk meg függőségnek. 


A következő példában a katalógus adatait az árlista és a vevő- 
lista fírissességétől tesszük függővé. 
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Az átmeneti tárat természetesen mi magunk is töröl- 
hetjük a következő utasítással: 


Az Xa0OutputCache direktívával ellentétben a Cache API tehát 
nemcsak HTML kimenet cache-elésére alkalmas, hanem bár- 
milyen objektumot képes a memóriában tartani, és akkor töröl- 
ni, amikor szükséges. 


Egyéb ASP.NET cache tulajdonságok 


A Cache osztály egyszerű, de igen hasznos interfész az 
ASP.NET belső cache mechanizmusához. Az interfészen ke- 
resztül szabályozhatjuk, hogy meddig legyen egy objektum az 
átmenti tárban. Amikor azonban a memória fogyni kezd, a 
rendszer automatikusan törölni kezdi az átmeneti tárat, hogy 
memóriát szabadítson fel. Így elképzelhető, hogy olyan objek- 
tum is törlődik onnan, amelyről minden okunk megvan feltéte- 
lezni, hogy ott van. Először ezeket a legkevésbé használt ob- 
jektumokat törli, azok közül is a kevésbé fontosakat. Azt, hogy 
mi számít fontosnak, a függőségek beállításánál lehet megadni 
a következő módon: 





A metódushívás utolsó előtti paramétere megadja a cache-elt 
objektum fontosságát, ami lehet normál, alacsony, magas és a 
törlés tiltása is lehetséges. 


Az Insert metódus utolsó paraméterének megadásával pedig 
egy függvényt adhatunk át, amely akkor kerül meghívásra, ha 
a rendszer törli az objektumot a memóriából. 


Portálspecifikus problémák megoldása 


A fent bemutatott megoldások a legtöbb esetben jól működ- 
nek, azonban a fejlesztő itt olyan oldalakat vagy vezérlőket is 
elhelyezhet az átmenti tárba, amiket nem szabadna. Jó példa 
erre egy login dobozka egy Internet portálról, ahol ha a fel- 
használó beírja azonosítóit, megjelenik egy rövid üdvözlet, 
ami a nevét is tartalmazza. Ha ezt a logikát egy szerveroldali 
vezérlővel oldjuk meg, és a vezérlő kimenetét vagy az egész 
oldalt cache-eljük, akkor a cache törléséig minden felhaszná- 
ló ugyanazt az üdvözletet kapja, azaz ha Józsi kérése töltötte 
fel a cache-t, akkor minden felhasználó az , Üdvözöljük Jó- 
zsi!" üzenetet kapja. Ez a példa különösen kellemetlen, mert 
a felhasználók egy ilyen malőrben biztonsági rizikót látnak, és 
rögtön arra gondolnak, hogy ha én most Józsiként vagyok be- 
jelentkezve, biztos más is be tud jelentkezni az én nevemben. 
Így lehet egy jelentéktelen cache beállításból akár még bot- 
rány is. 

Egy megfelelő portál keretrendszer lehetőséget biztosít egy mo- 
dul vagy dobozka fejlesztőjének, hogy szabályozza modulja 


cache-elhetőségét, megszabhasson minimum vagy maximum 
érvényességi időt, vagy éppen a fenti példa esetében tilthassa 
a cache beállítását. 

Általában az is igény, hogy ne csak programozók, hanem egy- 
szerű felhasználók is tudják az átmeneti tárolást befolyásolni. 
Egy hírportál szerkesztősége pontosan be tudja állítani oldal- 
ról-oldalra, hogy milyen gyakran frissülnek az ott található tar- 
talmak. Egy intranet képzett felhasználója pedig testreszabhat- 
ja a saját oldalát, a cache-elés optimális beállításával meggyor- 
síthatja az oldal betöltését, ezzel növelve munkája hatékony- 
ságát. 

Ez a szabadság természetesen megköveteli a cache alkalmazá- 
sának fejlesztői korlátozását, illetve a hozzáférés programozói 
és deklaratív beállításának lehetőségét, röviden legyen a beál- 
lítás jogosultsághoz köthető. 

Ha már a jogosultságnál tartunk, érdemes megemlíteni, hogy a 
jogosultsági beállítások miatt a legtöbb alkalmazás teljesen 
testreszabott tartalmat jelenít meg, aminek a markup szinten 
történő cache-elése gyakorlatilag lehetetlen, nem beszélve ar- 
ról, hogy a jogok megvonása esetén az adott információnak 
még a cache-ből sem szabad hozzáférhetőnek maradnia. 


NLBS 


Ha jól skálázható és nagy rendelkezésre állású portált fejlesz- 
tünk, számolnunk kell webfarm építésével, ami a cache terü- 
letén is tartogat nekünk kellemetlen meglepetéseket. Az 
alapproblémát az okozza, hogy az ASP.NET cache rendszere 
igen ritka, hisz az effajta NLBS-ben futó szerverfarmok általá- 
ban adatbázisokból, vagy más, a Cache API számára ismeret- 
len rendszerekből táplálkoznak. Így megtörténhet, hogy az 
egyik gépen már frissebb adat van a cache-ben, mint a másik- 
ban, mert a cache törlése nem egy időben történik (mivel a 
leggyakoribb az időtől való függés). Ilyenkor a felhasználó azt 
tapasztalhatja, hogy a tartalom az oldal újratöltésével régebbi 
lesz, mint előtte volt, hisz a http kérések a különböző érvé- 
nyességű választ visszaadó szerverek között véletlenszerűen 
oszlanak el. 

Sokszor problémát okoz, hogy a portálalkalmazás törölni sze- 
retné a cache-t, de azt csak azon a gépen tudja megtenni, ame- 
lyikre az adott http kérés beérkezett. Erre jó példa lehet egy 
CMS, ami egy új hír felvitelénél törli a híreket a cacheből, így 
a felvitt hír azonnal megjelenik. Sajnos jelenleg erre az 
ASP.NET nem nyújt támogatást NLBS esetében, de léteznek 
olyan portál keretrendszerek, amik mindezt tudják. 


Ha ezután cache-elős alkalmazás készítésére és tesztelésére 
adjuk a fejünket, legyünk türelmesek. Készítsük fel alkalmazá- 
sainkat a cache tesztelésére olyan debuginformációk megjele- 
nítésével, amelyek segítik a tesztelést. Ilyen például az időpe- 
csét, ami kiválóan jelzi a cache működését. 


Bíró Tamás 
MCSD 
btösensenet.hu 


fetscan 7 ahol végessé válik 


a végtelen 


Kiberszociológia a fejlesztők és a fogyasztók 


szolgálatában 


A weben drága, nyelvi eszközökkel támogatott kereső-szűrő rendszerek segíthetnek a bennünket ér- 
deklő információ kibányászásában. Egy Microsoft-kutatás most azzal kecsegtet, hogy a Usenet vége- 
láthatatlan káoszából is sikerül automatikusan kiemelni a lényeget. 


Amikor manapság az Internet kerül szóba, szinte mindenkinek 
a web és az e-mail jut az eszébe. Pedig van az online kommu- 
nikációnak egy olyan ága, amely már akkor létezett, amikor a 
webről még csak nem is álmodtunk, s amelyet ma is százez- 
rek, ha nem milliók használnak világszerte. Természetesen a 
hírcsoportok világára, a Usenetre gondolunk. 

Cikkünk írása idején több mint 78 ezer hírcsoport (newsgroup) 
működik a legkülönbözőbb témákban, az Office-fejlesztés kér- 
déseitől a pornográfia kifinomult műfajaiig. Persze az itt meg- 
jelenő publikációk nem hírek -— legfeljebb pletykák, még in- 
kább kérdések és válaszok, vélemények és ellenvélemények. 
Ember legyen a talpán, aki átlátja ezt a zűrzavart, s külön tud- 
ja választani a búzát az ocsútól, az értékes információt a meg- 
alapozatlan találgatástól vagy éppenséggel a szándékos félretá- 
jékoztatástól. 

Ember? Inkább gép — mondják a Microsoft kutatóműhelyében, 
a Microsoft Researchnél (közkeletű rövidítésével az MSR-nél). 


Szociológiai Petri-csésze 


Marc Smith, a laboratórium munkatársa nem kisebb fába vágta 
a fejszéjét, mint hogy megpróbálja objektív módon, automati- 
kusan mérni, kifejező paraméterekre leképezni a Usenet-aktivi- 
tást, kiszűrni annak — a felhasználó szempontjából — valóban lé- 
nyeges elemeit. Mindezt nem csupán néhány témakörre össz- 
pontosítva: a Netscan elnevezésű projekt egy olyan szerverről 
táplálkozik, amelyre közel 50 ezer hírcsoport anyaga fut össze. 

















EJ Ilyennek látta a Usenet egészét a Netscan 2002. de- 
cember 1-jén. Az egyes négyszögek egy-egy hírcso- 
portnak felelnek meg, s annál nagyobbak, minél több 





üzenetet publikáltak bennük. Ha az előző hónaphoz 
képest nőtt az üzenetek száma, a program zöldre, ha 
csökkent, pirosra festi a mezőt. A színezés erőssége a 
változás nagyságával arányos. 


Számomra az internet hatalmas szociológiai Petri-csésze. — 
mondja a kutató. — Napról napra félmilliárdnyian lépünk ki az 
online világba, s hagyjuk hátra lábnyomainkat a digitális hó- 
ban. Szociológus az emberi magatartásról ennél tökéletesebb 
felbontású anyagot még nem kapott. Népszámlálással a földke- 
rekség népességének kevesebb mint egy százalékát érjük el. A 
Netscannel minőségileg másfajta adatokból indulhatunk ki. 
Nem mintát veszünk: a teljes egészet láthatjuk, tanulmányoz- 
hatjuk." 


Jellemzők... 


Smith rendszere két fő modulból áll. Az egyik a gyűjtő és 
-tároló, a másik a tulajdonképpeni feldolgozó, elemző egység. 
Az előbbi letölti a hírszerverre befutó anyagokat, az üzenetfe- 
jekből kiemel és adatbázisba ír bizonyos jól megválasztott 
információ-elemeket. A szoftver természetesen nemcsak folya- 
matosan építi az adatbázist, hanem annak karbantartásáról is 
gondoskodik. Az elemző modul az adatbázisból kimutatáso- 
kat, statisztikákat generál, illetve a felhasználó által választott 
időintervallumot alapul véve, a kért jellemzők szerint értékeli 
a kijelölt hírcsoport(ok) forgalmát, tartalmát. 

Milyen paraméterekkel méri a Netscan a Usenet-aktivitást? 
Figyeli, rögzíti, hogy az egyes szerzők 


3 hány üzenetet publikálnak, 

A hány különböző üzenetfonalba (threadbe) kapcsolód- 
nak be, 

A írásainak hány százalékára érkezik válasz, 

HA hány más szerző üzeneteire válaszolnak, 

JA hány naponként publikálnak újabb üzenetet. 


... és tanulságok 


Mióta a rendszert 1999-ben elindították, több száz millió üze- 
netfej adatait vette fel az adatbázisba és értékelte ki. Így szigni- 
fikáns magatartásformákat és trendeket lehet már kimutatni, 
mind a szerzőkre, mind pedig az üzenetfonalakra és a hírcso- 
portokra vonatkozóan. 

Objektív, statisztikai elemzéssel olyan eredményeket kaptak, 
amelyek — meglepő vagy nagyon is érthető módon — egybees- 
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tek azzal, hogy a hírcsoportok aktív levelezői, olva- 
sói szubjektíve mikor ítéltek megbízhatónak vala- 
mely szerzőt vagy szavahihetőnek, hasznosnak vala- 
mely írást. 


Általában azok az üzenetek bizonyultak a legértékesebbnek, 
amelyeknek szerzői 
A rendszeresen (de nem feltétlenül nagy terjedelemben) 
publikálnak, 
A általában válaszolnak mások üzeneteire, de azt röviden 
teszik, 
AA valamennyi (vagy a legtöbb) üzenetláncba bekapcso- 
lódnak — de nem sokszor, általában mindegyikbe alkal- 
manként csak egyszer, legfeljebb párszor. 








B Netscan napi statisztikai grafikon a microsoft. 
public.windowsxp.general hírcsoport 2002 december 
havi aktivitásáról. A bal oldali panelen választhatjuk 
meg, hány paraméter értékei jelenjenek meg az ábrán. 
Esetünkben (felülről lefelé haladva) az üzenetek összes 
számát, a publikálók számát és a válasz nélkül hagyott 
írások számát tüntettük fel 


Több mint elmélet 


Ha valaki ezek után azt hinné, hogy Smith munkája csupán 
szociológusok érdeklődését kielégítő kísérlet, az alaposan té- 
ved. A kibertér szociális felmérésének nagyon is gyakorlati, az 
üzletmenetre kiható haszna van. A Netscant magánál a Micro- 
softnál összesen négyezernél többen használják; naponta a cég 
ötven-hetven munkatársa fordul a rendszerhez. 

A termékmenedzserek számára például rendkívül fontos (lenne) 
a szoftverjükkel foglalkozó hírcsoport(ok) figyelése, hiszen az 
üzenetekből rengeteg visszajelzést kaphatnának. Gyakran eze- 
ken a fórumokon írnak először a programhibákról, arról, milyen 
funkciókat látnának szívesen, vagy éppenséggel mit éreznek 
haszontalannak. Mégis, eddig a teermékmenedzserek nemigen 
engedhették meg maguknak a usenetezést, hiszen csak az őket 
érintő hírcsoport átolvasása napi jó másfél órájukba kerülne. A 
Netscan gyökeresen változtatott ezen a helyzeten. 

,Én most csak annyit mondok nekik: szerda reggelente frissül a 
Netscan rendszer tartalma az előző hétről begyűjtött informá- 
ciókkal. Akkor szánjatok rá háromnegyed órát — s napi 90 he- 
lyett heti 45 perc alatt átfuthatjátok mindazt, amire szüksége- 
tek lehet" — magyarázza Smith. 


Reggeli előtt Aurora? 


Ám a rendszer kidolgozója más alkalmazási lehetőségeket is 
lát. Kézenfekvő például a levelezési listák, chat fórumok, bel- 
ső, céges vitafórumok aktivitásának feldolgozása, tanulmányo- 
zása. Ezen messze túlmutat azonban az a Netscanre épülő pro- 
jekt, amelynek Smith az Aurora nevet adta. 


Hiszen a Usenet (és az Internet) nemcsak szoftverről szóló in- 
formációval van tele. Írnak az emberek mindenfajta termékről, 
ami csak a boltokba kerül, a halkonzervtől a fogkeféig. 
Mi lenne, ha a szupermarketben bevásárlás közben hordozha- 
tó szkennerrel leolvasnánk a kiszemelt termék vonalkódját, s 
az így a számítógép számára beazonosított termékre elindíta- 
nánk egy keresést a Netscan rendszerben? 
A gondolatot tett követte. Smith a kéziszámítógépét vonalkód- 
olvasóval szerelte fel, s munkatársaival kidolgozta az ötlet 
megvalósításához szükséges szoftvert. Attól nem kellett tarta- 
nia, hogy elárasztják a tévinformációk vagy a félrevezető plety- 
kák. A Netscan erénye éppen az, hogy csak azokat a dokumen- 
tumokat jeleníti meg, amelyek megbízhatónak minősített szer- 
zőtől származnak. 
Nem kellett sokat várni a mindennapokban kamatoztatható 
eredményre. A kutató kedvenc gabonapelyhéről kiderült: aller- 
giásoknak veszélyes lehet, mert — noha a dobozon nem tüntet- 
ték fel — tojást és mandulát is tartalmaz. Arról a zöldborsókon- 
zervről pedig, amelyet rendszeresen vásárolt, az a hír járta, 
hogy rovarirtó-nyomokat fedeztek fel benne. 
A sikeren felbuzdulva a munkacsoport vonalkóddal látta el a 
Microsoft képzőművészeti gyűjteményének darabjait. Ettől 
fogva a rendszertől az alkalmazottak megtudhattak minden 
háttérinformációt az alkotásokról, sőt, azt is, kollégáiknak me- 
lyik mennyire tetszett. 
Smithék most azt tervezik: vonalkóddal látják el a Microsoft te- 
lephely sok egyforma épületének folyosóit is. Így, ha valaki el- 
téved, a Netscan megmondhatja neki, hogyan juthat célba, sőt, 
akár arról is felvilágosítást adhat, hol van a legközelebbi nyom- 
tató. 
Mikolás Zoltán 
mikolasGtebookone.com 
A szerző e-tartalom tanácsadó, szakújságíró 
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E A Netscan a hírcsoportok közötti kapcsolatok grafikus 
megjelenítésére is képes. Két fórum között akkor rajzo- 
lódik ki vonal, ha keresztpublikálás történik, azaz 
ugyanazt az üzenetet szerzője egyszerre két vagy több 
hírcsoportba is elküldi. A gráf szemléletes képet ad a 
témák (illetve az őket érdeklődéssel kísérő társadalmi 
csoportok) egymáshoz kapcsolódásáról, ami egyébként 
szinte bizonyosan észrevétlenül maradna 





ve 
ű d p ] p Í p ] Ü Helyes megfejtés esetén a 
kiemelt négyzetekbe ke- 
rült betűket felülről lefelé folyamatosan összeolvasva Szmo- 
linka Rezső rejtvényszerkesztő, a FeleSkandi rejtvényújság 


A nyertesek ajándékát a VirusBuster Kft., 

a számítógépes vírusvédelmi megol- 

dások szállítója biztosítja. Három komplett 
munkaállomás-védelmet kínálunk, 

. melyek tartalmazzák Windows for 
Workstations, VBShield for MS Office 
2000/XP és Parancssori kereső 
termékeinket egy csomagban. 


kiadójának gondolatát ismerheti meg. A kiadó elérhető: 
Telefon/fax: 238-0109, crosswordgmail.datanet.hu 

A helyes megfejtéseket az (1) 472-1215-ös faxszámra vagy 
az infogonetacademia.net címre várjuk. 
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Reklámok kölcsönösen ingyenes megjelenítése a honlapokon 





Fűggőleges tabulálás 


EE ETTE ee azé tt 





Két szám hányadosának szófaji megnevezése 


fg 7 








Kizárólag az interneten működő vállalkozások neve 
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Error message 


Egységes halmazba rendezett tényszámok 
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Microsoft .NET fejlesztől tavasz 


Biztosan induló Microsoft .NET fejlesztői tanfolyamok 
a SZAMALK Továbbképzésnél 





Szeretne többet megtudni a Microsoft új fejlesztőeszközéről, a Visual Studio.NET-ről? 
Megismerné az adatkezelési technikákat, webes és Windows alapú alkalmazások 
fejlesztését? Ráadásul mindezt párhuzamosan két programnyelven? 


Március végétől minden hónapban Microsoft .NET fejlesztői tanfolyamok a Cst vagy 
Visual Basic .NET programozási alapismerettel már rendelkező szakemberek részére. 


A közeljövőben induló képzések 
2071 - SOL adatbázis alapok, lekérdezések 


(Ouerying SOL Server 2000 Databases) március 31 - április 1. . 79.O0OFt  -10.000 Ft 
2389 - .NET adatkezelési technikák 

(Programming with ADO.NET) április 2-4. 129.000Ft  -10.000 Ft 
2555/2565 - Windows alkalmazásfejlesztés 

(Developing Microsoft .NET Windows Applications) április 22-24. 129.000Ft -10.000 Ft 
2310 - Webes alkalmazásfejlesztés 

(Developing Microsoft .NET Web Applications) május 26-30. 149.000O0Ft -15.000 Ft 
2524 - XML és webszolgáltatások fejlesztés 

(Developing XML and Web Services) június 30 - július 2. 129.000Ft  -10.000 Ft 


Minél TÖBB tanfolyamra jelentkezik, annál OLCSÓBBAN juthat hozzá! 


Egyszerre több fejlesztői kurzusra történő jelentkezés esetén az ötnapos 
tanfolyamok díjából 15.000 Ft, a többiből 10.000 Ft kedvezményt érvé- 
nyesíthet tanfolyamonként! új 


A kurzusok biztosan indulnak. Ne hagyja ki! 
Jelentkezzen, amíg a szabad helyek tartanak! 


Microsoft I 
szen SZÁMMIKTAÓ 


Center 





[elok tok oY voltos tá eno www.szamalk.hu/tisza 1145 Budapest, Etele út 68. 


Windows 2003 Server Expert megrendelőlap 


Címzett: NetAcademia Kft. ax 


Faxszám: (1) 472-1215 





Windows 2003 Server Expert 
Workshop (2 nap) 


A Windows 2003 technológia újdonságainak felfedezése. 


Szakítson időt a Windows 2003 újdonságainak felfedezésére! Nálunk két nap alatt megtudhatja mindazt, amit egyedül 
másfél év alatt lehet összeszedni! 


Témakörök: 


Az Active Directory újdonságai 

Erdők közötti tranzitív trust; tartományok átnevezése; sémabővítés deaktiválása, felülírása; kezdeti replikáció men- 
tésből (DCPROMO); Global Catalog-mentes bejelentkezés; Active Directory Application Partition és az Active 
Directory-integrált DNS újdonságai; Forest és Domain Functionality Level, frissítéshez: ADPrep; LDAP-újdonságok: 
TLS-támogatás, TTL a bejegyzéseken, Digest autentikáció, Virtual List View, elmenthető lekérdezések; Active 
Directory Migration Tool, User State Migration Tool; 


A Group Policy újdonságai 

Resultant Set of Policy; Új házirendcsomagok: NetLogon, Credential Manager, Terminal Services, kliensoldali DNS- 
beállítások; Software Restriction Policies; Administrative Templates Web View; A GPO korlátozása WMI-szűréssel; 
Group Policy Management Console: GPO mentés-visszaállítás, export-import 


Fejlesztői újdonságok rendszergazdáknak 
Hasznos programocskák készítése (Visual) Notepad segítségével: .NET Framework; ASPNET; ADO.NET 


Rendszerújdonságok 


GUID Partition Table; Headless Server; Automated System Recovery; Volume Shadow Copy; új WMI Providerek: 
a replikációhoz, a trust-kapcsolatokhoz, DFS-hez, nyomtatókezeléshez; Parancssori WMI (WMIC.EXE) 


Biztonsági újdonságok 

EFS: több felhasználó, titkosítás WebDAV-megosztáson 

Certificate Services újdonságok: auto-enrollment felhasználók számára is, Certificate Mapping, módosítható 
tanúsítványsablonok, delta CRL-támogatás, központi kulcstárolás, kulcsvisszaállítás 

Software Update Services 


LEILA [e (eln Etet sole 
http.sys és Web Administration Service; Worker Process Isolation Mode; Web Garden 
Demand Start; URL Authorization; XML Metabase; POP3 és SMTP szolgáltatás 





Nálunk mindent kipróbálhat! 


Jelentkezési adatok: 


A WorkShop ára 140.000,-Ft, mely díj magába foglalja a tananyag és az ebéd költségét. 


ÜGBŐNE átl eáttéás tás eÉ Ez EKEK KEZEK SS SE KAKK EKG SÖT ARAKÉ TES Jelentkezők száma: ...... ZS SÉE ESKÜ KB 


VELETOME széna 


Időpontok: [I 2003. április 10-11. EJ 2003. május 12-13. I 2003. június 23 - 24. 





Információ: http://www.netacademia.net/workshop/w2003/ 
Elérhetőségeink: Tel.: 472-1214 Fax: 472-1215 info.-onetacademia.net 


tech.net magazin 
előfizetési szelvény X 


C mzett: NetAcademia KÉt. 
FaxszEm: (1) 472-1215 





http://technet.netacademia.net/subs/szamrend.asp e e-mail: terjesztesonetacademia.net e fax: (1) 472-1215 


Előfizetem a tech.net magazint: 


S SÉSZáts példányban egy évre (14.784 Ft) 

EN GHNEÁK példányban fél évre (7.392 F0. 
Az előfizetés kezdete: ............. 
Megrendelő NeVe isseze sss énse ús ősét ató a üléséig dé az árás mélale e b élés as és 
GES HEVES Szó ál Él SZÉ LE GEES GETE OE SSE ES ON REESE OK EN ÉRE SÓÉDZEN ÉBE SŐS 
Számlázási cím: fél fél [Ed (Ed Se Tete etelt lelte ta ETL S 8 DOSUSSEZEL S ÉS SÜN : 


EZÉS ete s EEG év sál ELEG ŐKE REL ÉL del EGES SG SEREGE E GE E 24 áá 
TEleJONEs a szséüsó sézőése anadásabae a aes éréns igás a SE GJ EPELELÉ E ár DáLéstét § 
REL SZ áS es Sava ÁT éstEE E ÉörvéstÉÉLÉL TÉ ör ÖL EDÉL EÁ KLGÖNÉE ÁÁÁ tén ÖNÉ ESNE TNANOTÉT E AT AKOS KÁNVKS LÓ RÉT KÉL ég ÉS 
A fizetés módja: L] csekkel L] átutalással 

(ElTős sssrésrés F segéme ÜZ rérétoétsjó ÁJÁÍTÁSS esétesékséméterééátts 


"Amennyiben a számlázási cím nem egyezik meg a szállítási címmel, kérjük az alábbi részt is töltse ki! 


